53
White Paper Sicherheit Version 1.0 Januar 2007 DocuWare AG Therese-Giehse-Platz 2 82110 Germering

White Paper Sicherheit

Embed Size (px)

Citation preview

Page 1: White Paper Sicherheit

White Paper

Sicherheit

Version 1.0

Januar 2007

DocuWare AG

Therese-Giehse-Platz 2

82110 Germering

Page 2: White Paper Sicherheit

Impressum:

DocuWare AG

Therese-Giehse-Platz 2

82110 Germering

Telefon: +49.89.89 4433-0

Telefax: +49.89.841 9966

E-Mail: [email protected]

Disclaimer:

Dieses Dokument wurde nach bestem Wissen mit großer Sorgfalt zusammengestellt. Sämtliche Angaben beziehen sich auf DocuWare-Produkte ab Version DocuWare 5. Es soll im Wesentlichen die technische Grundstruktur der DocuWare-Produkte erläutert werden. Abweichungen einzelner Funktionen von der jeweils verfügbaren Version, die von geringer oder kurzfristiger Bedeutung sind, sind möglich.

© Copyright 2007 DocuWare AG, alle Rechte vorbehalten.

Page 3: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 3 © DocuWare AG

Inhalt 1 Zielsetzung des White Papers 5

2 Einführung 6

3 Überblick Systemarchitektur 7 3.1 N-Tier-Architektur 7 3.2 DocuWare-Systemarchitektur 7 3.3 Administration 9

4 Zugangs- und Zugriffssicherheit 10 4.1 Zugangssicherheit 10 4.2 Login-Verfahren 10

4.2.1 Login im LAN/VPN 10 4.2.2 Login via Internet 13 4.2.3 Passwörter 13

4.3 Berechtigungskonzept 13 4.3.1 Einführung und Definition der Begriffe 13 4.3.2 Vergabe der Funktionsrechte 17 4.3.3 Einstellungen auf Archivebene 17 4.3.4 Vordefinierte Rollen 18 4.3.5 Zusammenspiel der Rechte und Berechtigungen 19

4.4 High Security Systeme 21

5 Sichere Ablagen 22 5.1 Dokumenten-Sperrung in Archiven 22 5.2 Check-out 22 5.3 Verschlüsselte Ablagen 22

6 Stempel und Elektronische Signaturen 24 6.1 Stempel generell 24 6.2 Elektronische Signaturen 24

6.2.1 Token / Zertifikate 25 6.2.2 Hash / Prüfsumme 25 6.2.3 Zeitstempel und Massensignatur 26 6.2.4 Signaturen verifizieren 26 6.2.5 Signaturen von Fremdprogrammen 26 6.2.6 Administration der Signaturen 26 6.2.7 Signatur-Protokolle und -Standards 26

7 Sichere Kommunikation und Transaktion 28

Page 4: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 4 Januar 2007

8 Ausfallsicherheit 29 8.1 Ausfall von Authentication Server oder Content Server 29 8.2 Authentication Server Datenbank 30 8.3 Backup 30 8.4 Wiederherstellung (Recovery) 31

9 Protokollierung 32 9.1 Protokollarten 32 9.2 Protokollierungsebenen 32 9.3 Protokollinhalte 33 9.4 Speicherort und -umfang 34 9.5 Berechtigungen 34 9.6 Vordefinierte Protokollierung 35 9.7 Anzeige der Protokollierung 37

10 Glossar 38

11 Anhang 44 11.1 Vorgehensweise zur Entwicklung von Gruppen und Rollen in einer Organisation 44 11.2 Definition von Rechten in Archiven 45 11.3 Verwendung von Indexfiltern in Archiven 46 11.4 Beispiele zur Vorgehensweise 47 11.5 Funktionale Rechte 48 11.6 Archivrechte 52

Page 5: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 5 © DocuWare AG

1 Zielsetzung des White Papers Dieses White Paper dient der Darstellung der Sicherheitsmaßnahmen innerhalb der DocuWare-Software. Es werden die getroffenen Maßnahmen erläutert, um einerseits Zugangs- und Zugriffssicherheit zu erreichen und andererseits Ausfälle von vornherein zu vermeiden oder zumindest die Auswirkungen für die Benutzer zu minimieren. Es umfasst sämtliche Vorkehrungen gegen versehentliche oder vorsätzliche Manipulation der verwalteten Inhalte und gegen Datenverlust durch Ausfall. Weiterhin gehören zu den Sicherheitsfunktionen Maßnahmen zu Gewährleistung des Datenschutzes und der Nachvollziehbarkeit der Geschehnisse im System.

Es werden die zugrunde liegenden Technologien erwähnt sowie ihre Anwendung durch das DocuWare-System beschrieben. Der Leser kann sich damit ein technisch fundiertes Urteil über das DocuWare-System bilden und die Sicherheit einschätzen.

Die technischen Mitarbeiter bei Kunden, Beratungsunternehmen, Fachzeitschriften und Vertriebspartnern sind gleichermaßen angesprochen. Vorausgesetzt wird lediglich technisches Grundlagenwissen über den Aufbau moderner Software-Applikationen, idealerweise von Dokumenten-Management-Systemen. Detaillierte Kenntnisse aktueller oder vorheriger DocuWare-Systeme sind nicht erforderlich.

Page 6: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 6 Januar 2007

2 Einführung Je größer und komplexer Archive werden, desto umfangreicher werden die Anforderungen an die Sicherheit. DocuWare bietet dazu umfangreiche Funktionen, die sowohl die

Zugangs- und Zugriffssicherheit als auch die Ausfallsicherheit

betreffen.

Ein wesentliches Element des DocuWare-Sicherheitssystems ist der Authentication Server, der die korrekte Authentifizierung sicherstellt, aber auch Funktionen zur Ausfallsicherheit bereitstellt. Um unautorisierte Nutzung der DocuWare-Funktionen zu vermeiden, sind folgende Elemente in den DocuWare-Servern als Sicherheitsfunktionen enthalten:

Ein modernes Authentifizierungssystem Ein umfangreiches Berechtigungskonzept Optionale Verschlüsselung Leistungsfähige Funktionen zur Elektronischen Signatur Umfassende Protokolliermöglichkeiten Abgesicherte Kommunikationsverfahren

Zur Erhöhung der Ausfallsicherheit lassen sich viele Komponenten redundant auslegen und Aufgaben innerhalb des DocuWare-Systems verteilen. Bei großen Installationen hat dies den angenehmen Nebeneffekt, dass die Arbeitslast auf mehrere Komponenten verteilt werden kann, womit sich das Antwortzeitverhalten verbessert.

Page 7: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 7 © DocuWare AG

3 Überblick Systemarchitektur Zum besseren Verständnis wird ein kurzer Überblick über die Systemarchitektur vorangestellt. Zur Systemarchitektur ist ein eigenes White Paper vorhanden, das weitere Informationen enthält.

3.1 N-Tier-Architektur Die Architektur des DocuWare-Systems folgt dem modernen „N-tier-Konzept“, das eine Weiterentwicklung des Client-Server-Konzeptes darstellt. Das Konzept charakterisiert sich dadurch, dass

stark dialogorientierte Funktionen auf den Arbeitsplatzsystemen ablaufen, die Applikationslogik auf einem oder mehreren zentralen DocuWare-Servern lokalisiert ist, mehrere Applikationen gemeinsame Ressourcen auf einem oder mehreren zentralen

Hintergrund-Servern nutzen.

Wie schon im klassischen Client-Server-Konzept so steht auch hier der Begriff Server für einen Software-Dienst und nicht für eine Hardware. Ein DocuWare-System besteht daher immer aus mehreren (Software-) Servern, die aber - im Extremfall - alle auf einem Hardware-System gleichzeitig ablaufen können.

Abbildung 1: Grundsätzliche Produktarchitektur

3.2 DocuWare-Systemarchitektur Ein DocuWare-System besteht mindestens aus den folgenden Software-Komponenten:

Rich-Client Um die Möglichkeiten der N-Tier-Architektur optimal zu nutzen, sind dialogintensive Funktionen in der Client-Komponente auf jedem Arbeitsplatz zusammengefasst. Damit wird ein Optimum an Bedienkomfort und Performance erreicht. Weiterhin enthält der Rich-Client immer auch einen Scan-Client, so dass diese Funktionalität - bei Verfügbarkeit eines Scanners – direkt am Arbeitsplatz bereit steht. Durch die Bereitstellung der Scan-Funktionalität an jedem Client-Arbeitsplatz soll dem Trend zum dezentralen Scannen Rechnung getragen werden. Dabei wird das Ziel verfolgt, dem einzelnen Anwender die Erfassung von Informationen so einfach wie möglich zu machen.

Natürlich kann der Zugriff auch über einen Web-Browser erfolgen (siehe INTERNET-SERVER auf der folgenden Seite).

Authentication Server Der Authentication Server verwaltet sämtliche Ressourcen und Benutzer. Er ist die zentrale „Schaltstelle“, die Anmeldungen (Login) entgegennimmt, Berechtigungen prüft, Funktionen frei gibt und Ressourcen, z.B. Server den Benutzern zuweist.

Page 8: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 8 Januar 2007

Content Server Der Content Server verwaltet die logischen Archive. Er bedient sich dazu der Datenbank zur Verwaltung der Indexdaten und der Anmerkungen zu den Dokumenten. Die Dokumente selbst werden zusammen mit der Header-Datei in der Dateiablage gespeichert. Anmerkungen werden in der Header-Datei gespeichert.

Abbildung 2: Systemarchitektur Minimalsystem

Aus diesem Basissystem heraus ist das DocuWare-System funktional ausbaufähig und in feinen Stufen skalierbar. Das folgende Bild zeigt beispielhaft

die funktionale Ergänzung um Workflow Server, die Einbindung von Web-Clients, die Nutzung separater Hardware-Systeme für Authentication Server und Workflow Server Content Server Datenbank, Dateiablage und INTERNET-SERVER

Abbildung 3: Funktional und bezüglich der Hardware erweitertes System

Workflow Server Der Workflow Server steuert sämtliche Automations- und Workflow-Prozesse. Zu den Automationsprozessen gehören z.B. Dokumentenimport, -export, Archivsynchronisation, Migration und Volltext-Indexierung. Er übernimmt zusätzlich die Steuerung des Dokumenten-Workflows und des Datenaustauschs mit Fremdapplikationen.

INTERNET-SERVER Über INTERNET-SERVER können Web-Clients eingebunden werden. Diese Nutzer benötigen lediglich einen Standard-Browser und können damit sowohl Dokumente in DocuWare-Archiven ablegen als auch recherchieren und anzeigen.

Page 9: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 9 © DocuWare AG

Die Kommunikation zwischen den Komponenten erfolgt über Standard-Protokolle wie TCP/IP und HTTP. Damit können auch standortübergreifende Systeme problemlos durch die Nutzung der Internet-Technologie realisiert werden. Entsprechend dem Sicherheitsbedürfnis ist die Kommunikation auch über VPN (Virtual Private Network) machbar.

Abbildung 4: Standortübergreifende Archive mit Master (m) und Satellit (s)

Diese Architektur erlaubt nicht nur den wechselseitigen Zugriff auf entfernte Archive, sondern ebenfalls den Aufbau von redundanten Archiven, um, unabhängig von Standort und Übertragungskapazität, auf den gleichen Archiven arbeiten zu können. Unabhängig von der Art des Archivs („Master“ oder „Satellit“) kann in beiden Standorten die volle DocuWare-Funktionalität, inklusive der Übernahme beliebiger Dokumente genutzt werden. Die Synchronisation zwischen „Master“ und „Satellit“ erfolgt über den Workflow Server.

3.3 Administration Die einfache Administrierbarkeit auch großer und komplexer Installationen war ein wesentliches Designkriterium bei der Entwicklung der DocuWare-Software. Alle Module eines DocuWare-Systems werden daher über eine zentrale Administrations-Software mit einer einheitlichen Oberfläche und einheitlicher Benutzerführung verwaltet. Alle Einstellungen für die diversen Server, Mandanten, Archive, Datenbanken etc. werden über dieses Werkzeug vorgenommen.

Damit ist gleichzeitig eine zentrale Steuerung und Kontrolle der gesamten Installation mit all ihren Organisationen auch unter Sicherheitsaspekten möglich. Beispielsweise kann auch für die Rich-Clients vorgegeben werden, dass sie – unabhängig von den Login-Anforderungen - nur nach vorheriger Registrierung überhaupt die Möglichkeit haben, auf die DocuWare-Server zuzugreifen. Registrierte Clients können zudem deaktiviert werden. Zusätzlich sind auch zentrale Einstellungen, zum Beispiel für das Caching am Client, möglich.

Page 10: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 10 Januar 2007

4 Zugangs- und Zugriffssicherheit

4.1 Zugangssicherheit Der Authentication Server verwaltet sämtliche Benutzer und Ressourcen des Gesamtsystems. Die Nutzung des Systems erfordert zunächst immer eine Anmeldung am Authentication Server. Er ist somit zuständig für die Zugangssicherheit, d.h.

das Login der Benutzer, die Lizenzverwaltung, die Verwaltung der benutzerspezifischen Einstellungen.

Pro DocuWare-System existieren ein oder mehrere Authentication Server, die organisationsübergreifend agieren. Um Ausfällen vorzubeugen, kann der Authentication Server redundant installiert sein. Benutzt wird der Authentication Server somit durch

eine oder mehrere Organisationen mit jeweils mindestens einem oder Hunderten von Benutzern.

Da DocuWare mandantenfähig ist, sind Benutzer „Organisationen“ zugeordnet, die über den Authentication Server verwaltet werden. Eine Organisation ist damit eine logische Struktur, sie umfasst:

Benutzer und Benutzergruppen Logische Archive, inklusiv zugehöriger Platten Prozesse Templates für Stempel, Erkennungsschemata, Auswahllisten

DocuWare arbeitet mit internen User-IDs statt mit dem Benutzernamen des Logins. Nur diese User-IDs dienen als Datenbank-Schlüssel. Somit können Benutzer jederzeit umbenannt werden, ohne die zugeordneten Einstellungen ändern zu müssen.

Abbildung 5: Authentifizierung

Bei der Anmeldung eines Benutzers überprüft der Authentication Server auch die Lizenzen pro Organisation und Benutzer. Es werden sowohl „Concurrent Licenses“ als auch „Named Licenses“ unterstützt.

4.2 Login-Verfahren

4.2.1 Login im LAN/VPN Unterstützt werden die folgenden Methoden für die Authentifizierung der Benutzer beim Login:

DocuWare-Login Der Benutzer muss sich über Namen und Kennwort, wie in DocuWare hinterlegt, als berechtigt ausweisen. Unabhängig von den verschiedenen DocuWare-Servern muss sich der Benutzer nur einmal einloggen.

Page 11: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 11 © DocuWare AG

Trusted Login (Single-Sign-On) Der Client identifiziert sich – ohne weitere Benutzereingabe - über den Login-Namen des Windows-Betriebssystems. Der Authentication Server prüft den Login mittels der Benutzerverwaltung von Windows. Über dieses Verfahren ist auch die Kooperation mit anderen Single-Sign-On-Systemen möglich. Unterstützt werden dabei Verzeichnisdienste auf Basis von LDAP oder Active Directory.

Das Login in DocuWare erfolgt immer über den Authentication Server. Das Login-Verfahren enthält gleichzeitig die Prüfung der für den Nutzer verfügbaren Lizenzen.

Abbildung 6: Login-Verfahren

DocuWare arbeitet mit einem „Ticket-Granting-Ticket“ (TGT), bei dem sich ein Benutzer beziehungsweise Client am Authentication Server identifiziert und um einen Service nachfragt, ein „Ticket“ erhält und mit diesem Ticket den Service eines anderen Servers, z.B. eines Content Server, nutzen kann. Um sich am Authentication Server zu identifizieren, benötigt der Client „Credentials“, die er – wie oben erläutert - entweder über die Benutzereingabe (DocuWare-Login) oder durch die Windows-Benutzerverwaltung (Trusted Login) erhält. Der Authentication Server hat damit die zentrale Kontrollfunktion über die Sessions im System und kann somit einerseits Sicherheitsvorgaben umsetzen und andererseits bei Ausfall oder Überlastung von einzelnen Servern proaktiv reagieren.

Die Kommunikation zwischen Client und Servern und zwischen den Servern erfolgt gesichert.

Abbildung 7: Ticket-Granting-Verfahren

Daten

Datenbank

Benutzeroberflächee

DocuWare 5

DocuWare Administration

Server

Workflow Server

Content Server

Authentication Server

Dokumente

Archivdatenbank

Einstellungen

Anmeldung Lizenzcheck

Page 12: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 12 Januar 2007

Die konkreten Abläufe der Authentifizierung werden im Folgenden kurz skizziert.

4.2.1.1 Trusted Login – Single-Sign-On

1. Der Client legitimiert sich bei der Windows-Verwaltung (Domain oder Active Directory) typischerweise über Benutzerkennung und Passwort. Es werden von Microsoft auch andere Verfahren, z.B. SmartCard, angeboten, aber bisher noch selten genutzt.

2. Unabhängig von diesen Anmeldevarianten erhält der Client von der Windows-Verwaltung ein Ticket für diese Session dieses Benutzers an diesem Rechner.

4.2.1.2 Client-Anmeldung bei Authentication Server

Genereller Ablauf der Anmeldung beim Authentication Server:

1. Client etabliert eine sichere, das heißt verschlüsselte Kommunikationsverbindung mit dem Authentication Server.

2. Nur DocuWare-Login: Der Client fragt beim Benutzer Benutzerkennung und Passwort ab.

3. Client identifiziert sich gegenüber Authentication Server durch Kennung und Passwort beziehungsweise durch das Ticket, das er von der Windows-Verwaltung erhalten hat.

4. Der Authentication Server prüft die Informationen, erstellt ein „Ticket-Granting-Ticket (TGT)“ und sendet es an den Client. Außerdem wird die Lizenznutzung vermerkt. Das heißt, dass eine Lizenz bis zum Logout (oder Timeout) blockiert wird.

4.2.1.3 Client-Serviceanforderung bei Authentication Server

Nach erfolgreicher Anmeldung kann der Client bei dem Authentication Server die Nutzung von Services nach folgendem Verfahren beantragen:

1. Client übergibt folgende Informationen an den Authentication Server:

a. Gewünschter Server-Typ (Content Server, Workflow Server, SAP HTTP Server und zukünftige)

b. Zusätzlich benötigte Parameter, zum Beispiel Identifikation des logischen Archivs

c. Das oben erhaltene TGT

2. Authentication Server bestimmt den zu nutzenden Server

3. Schließlich sendet der Authentication Server dem Client ein zeitlich limitiertes Ticket für diesen Server. Das Ticket enthält unter anderem einen Session Key für die Kommunikation zwischen Client und Server.

4.2.1.4 Client-Anmeldung bei zugewiesenem Server

Mit diesem Ticket wendet sich der Client nun an den vom Authentication Server zugewiesenen Server. Er folgt dabei folgendem Verfahren:

1. Client baut eine sichere Verbindung mit dem zu nutzenden Server auf und übergibt das vom Authentication Server erhaltene Ticket.

2. Server wertet die enthaltenen Informationen des Ticktes aus und überwacht die Gültigkeit des Tickets.

3. Server sendet eine Bestätigung an den Client und ist nun bereit, Anforderungen entgegenzunehmen.

Ist das Ticket abgelaufen, ist es Aufgabe des Clients eine Verlängerung des Tickets bei dem Authentication Server einzufordern. Der Ablauf ähnelt dem Verfahren zum Erhalt eines neuen Tickets. Da aber der gleiche Session Key benutzt wird, kann die Session ohne Verlust fortgesetzt werden.

4.2.1.5 Client-Logout bei Authentication Server

Am Ende einer Session muss sich der Client ordnungsmäßig bei dem Authentication Server abmelden. Dazu baut der Client eine sichere Verbindung zum Authentication Server auf und übergibt sein Ticket-Granting-Ticket. Daraufhin gibt der Authentication Server die Lizenz wieder frei.

Lizenzen können immer nur für eine vorgegebene Zeit belegt werden. Fällt der Client aus, wird die Lizenz über ein Timeout wieder frei. Nach einem Ausfall und Neustart des Authentication Server werden ebenfalls blockierte Lizenzen wieder freigegeben.

Page 13: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 13 © DocuWare AG

4.2.2 Login via Internet Prinzipiell erfolgt die Anmeldung entfernter Nutzer über die Web-Technologie ähnlich dem beschriebenen Verfahren für DocuWare-Login für LAN-/VPN-Nutzer. Jedoch findet die Kommunikation hier nicht direkt zwischen Client und DocuWare-Server statt, sondern es ist der INTERNET-SERVER zwischengeschaltet. Gegebenenfalls sind auch noch Proxy-Server und Firewalls zwischengeschaltet, die jedoch auf den Ablauf der hier beschriebenen Sessions keinen Einfluss haben.

4.2.3 Passwörter Benutzernamen und Passworte werden generell verschlüsselt beziehungsweise als Hash-Wert abgespeichert. Dies gilt auch für Systemeinstellungen, wie zum Beispiel das Login beim Datenbank-Server.

Konkret wird das sogenannte „salted“ Hash-Verfahren verwendet, bei dem durch Kombination mit einem Zufallswert auch bei zwei identischen Passwörtern nicht der gleiche Hash-Wert entsteht. Passwörter sind damit weder lesbar, noch reproduzierbar.

Bei der Passworteingabe zeigt DocuWare generell nur „***“ an. Passwortänderungen erfordern zunächst die Eingabe des bisherigen Passwortes.

Die Möglichkeiten des Logins werden bei der Definition des Benutzers spezifiziert. Hat der Benutzer sein Passwort vergessen, kann das Passwort durch den Organisationsadministrator zurückgesetzt werden. Dies ist für Benutzer mit „High-Security“ nicht möglich, siehe auch Kapitel 4.4 High Security Systeme.

4.3 Berechtigungskonzept

4.3.1 Einführung und Definition der Begriffe Mitarbeiter in großen Organisationen absolvieren komplexe Abläufe und unterliegen einer Vielzahl von Regularien. Um ihre Aufgaben erfüllen zu können, benötigen sie Berechtigungen zur Benutzung vorhandener Ressourcen, z.B. Dokumenten- und IT-Funktionen, beispielsweise elektronische Genehmigungen. Dabei sind auch Beschränkungen erforderlich, um nur berechtigten Personen bestimmte Befugnisse erteilen zu können und um die Übersichtlichkeit für alle Beteiligten zu erhalten.

Ein Dokumenten-Management-System, das die vorhandenen Prozesse unterstützen will, muss in der Lage sein, die bestehenden Berechtigungen abzubilden. Dazu bietet DocuWare ein Rechtekonzept, das es erlaubt, für jeden DocuWare-Anwender sehr detailliert zu definieren, welchen Handlungsspielraum er im DocuWare-System hat. Die Vergabe und Verwaltung der Rechte bleibt dank des strukturierten Aufbaus einfach und übersichtlich.

Funktionale Rechte und Archivrechte Grundlegend für die Rechteverwaltung in DocuWare ist die Unterscheidung in funktionale Rechte und Archivrechte.

Page 14: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 14 Januar 2007

Die Summe der funktionalen Rechte und der Archivrechte eines DocuWare-Benutzers bilden den Handlungsspielraum dieses Benutzers.

Profile und Rollen Über Profile und Rollen ist es möglich, anstelle von vielen Einzelrechten in "Containern" zusammengefasste Rechte zu vergeben. Die Vergabe von Rechten über Profile und Rollen hat zwei entscheidende Vorteile:

1. Detaillierte, fein granulierte Zusammenstellungen von Rechten können auf Knopfdruck an beliebig viele Benutzer vergeben werden, ohne dass ein Administrator pro Benutzer per Hand die komplexe Rechtestruktur anpassen muss.

2. Zusammenstellungen von Rechten existieren auch ohne Benutzer. Falls ein Mitarbeiter die Firma verlässt, kann ein Nachfolger - ohne großen Aufwand - die gleichen Rechte zugewiesen bekommen, unabhängig davon wie spezifisch und detailliert die Rechtezuweisung im Einzelnen ist.

Funktionale Rechte

Über die Vergabe von funktionalen Rechten ist festgelegt, welche Menüpunkte und Funktionalitäten der Benutzer innerhalb des DocuWare-Systems ausführen darf.

Dazu gehören beispielsweise die Rechte, Dokumente aus dem Datei-System in das DocuWare-System zu importieren, Anmerkungen zu Dokumenten vorzunehmen und bestimmte Stempel zu setzen.

Für einen Benutzer können verschiedene funktionale Rechte vergeben werden.

Archivrechte

Über die Archivrechte ist festgelegt, welche Zugriffsmöglichkeiten einem Benutzer hinsichtlich der Archive (archivierte Dokumente und Indexdaten) zur Verfügung stehen.

Die Rechte umfassen das Ablegen und Suchen von Dokumenten, das Ändern von Indexeinträgen oder den Export von archivierten Dokumenten in das Dateiverzeichnis.

Für einen Benutzer können pro Archiv verschiedene Archivrechte vergeben werden.

Handlungsspielraum/ Zugriffsmöglichkeiten

des Benutzers

Funktionale Rechte

Archivrechte

Page 15: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 15 © DocuWare AG

Benutzer und Gruppen Die einzelnen DocuWare-Benutzer können zu verschiedenen Gruppen zusammengefasst werden. Dabei ist es auch möglich, dass ein Benutzer Mitglied mehrerer Gruppen ist.

Ererbte Rechte und explizite Rechte Bei der Zuweisung von Rechten zu Benutzern unterscheidet DocuWare zwischen ererbten und expliziten Rechten.

Ererbtes Recht

Rechte, die ein Benutzer über die Zugehörigkeit zu einer Gruppe oder über eine Rolle bzw. ein Profil erhalten hat, sind ererbte Rechte.

Benutzer

Für jeden Mitarbeiter, der mit DocuWare arbeiten soll, wird in der Regel mindestens ein Benutzer angelegt. Das Rechtespektrum erhalten Benutzer über die Zuweisung einzelner Rechte oder Rechtebündelungen in Form von Profilen und Rollen. Benutzer können Gruppen angehören.

Funktionale Profile

Funktionale Rechte können zu funktionalen Profilen zusammengefasst werden. Sie dienen der komfortablen Zuweisung auch von komplexeren Zusammenstellungen von Rechten. Profile können einzelnen Benutzern und Rollen zugeteilt werden.

Rollen

Rollen sind Zusammenfassungen von mehreren Profilen. Eine Rolle kann sowohl Pofile mit funktionalen Rechten als auch Profile mit Archivrechten umfassen. Rollen können Gruppen und einzelnen Benutzern zugewiesen werden.

Archivprofile

Archivrechte können zu Archivprofilen zusammengefasst werden. Sie dienen der komfortablen Zuweisung auch von komplexeren Zusammenstellungen von Rechten. Profile können einzelnen Benutzern und Rollen zugeteilt werden.

Gruppen

Gruppen sind Zusammenfassungen von Benutzern. Benutzer, die über die gleichen Programmfunktionalitäten verfügen und die gleichen Archivrechte besitzen sollen, lassen sich sinnvoll zu Gruppen zusammenfassen. Entsprechende Rechte erhält der einzelne Benutzer über die Zugehörigkeit zu der Gruppe, der die entsprechende Rolle zugewiesen ist.

Explizites Recht

Rechte, die ein Benutzer direkt erhält (und nicht über Rolle, Profil oder Gruppe), sind explizite Rechte. Es können nur funktionale Rechte als explizite Rechte vergeben werden.

Page 16: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 16 Januar 2007

Rechte sind immer additiv. Das heißt, die Summe der ererbten Rechte und der expliziten Rechte eines DocuWare-Benutzers bilden den Handlungsspielraum dieses Benutzers.

.

Zuweisung der Rechte Es gibt drei prinzipielle Herangehensweisen für die Ausstattung der Benutzer mit Rechten:

1. Direkte Rechtevergabe: Allen Mitarbeitern werden die benötigten Rechte direkt zugewiesen. Diese Variante ist nur zu empfehlen, wenn in der Organisation sehr wenige DocuWare-Benutzer sind. Ansonsten ist diese Variante bei mittelfristiger Betrachtung zeitaufwendig sowie fehleranfällig und daher ist eher eine der folgenden Möglichkeiten vorzuziehen.

2. Rechtevergabe über Profile: Alle Rechte werden zu Profilen zusammengefasst. Diese Profile werden einzelnen Benutzern zugewiesen. Diese Variante ist zu empfehlen, wenn in der Organisation nur wenige Mitarbeiter sind oder die Mitarbeiter über sehr spezifische Aufgaben verfügen. Diese Variante ist weniger aufwendig bei Änderungen als die erste, allerdings sollte in größeren Organisationen die Rechtevergabe über Rollen und/oder Gruppen erfolgen.

3. Verwendung von Rollen: Über die Zuweisung von Rollen werden die einzelnen Benutzer mit Rechten ausgestattet. In den Rollen werden funktionale Profile und Archivprofile zusammengefasst.

4. Verwendung von Gruppen: DocuWare-Benutzer, die als Mitarbeiter über gleiche Aufgaben verfügen, werden zu Gruppen zusammengefasst. Diesen Gruppen werden dann die Rechte über Rollen zugewiesen. Dieses Vorgehen ist in größeren Organisationen zu empfehlen, da Änderungen dann nicht so zeitaufwendig sind.

Möglich ist natürlich auch eine Kombination aller vier Varianten.

DocuWare bietet diese Varianten an, damit die Administratoren sich jeweils das Vorgehen auswählen können, das ihnen vertraut und der Organisation angemessen ist. Gruppen – als Zusammenfassung von Benutzern – und Rollen – als Zusammenfassung von Rechten – sind verschiedene Sichtweisen auf ein und dieselbe Sache. Dreh- und Angelpunkt sind die Funktionen im DocuWare-System. Einmal sind die Mitarbeiter und entsprechend die Benutzer der Ausgangspunkt. Das andere Mal sind die Arbeitsabläufe beziehungsweise die Funktionen im DocuWare-System der Ausgangspunkt. Beispiele für diese beiden Varianten sind im Anhang 11.1 Vorgehensweise zur Entwicklung von Gruppen und Rollen in einer Organisation, Seite 44 dargestellt.

Ererbte Rechte

Explizite Rechte

Handlungsspielraum des Benutzers

Page 17: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 17 © DocuWare AG

4.3.2 Vergabe der Funktionsrechte Durch die funktionalen Rechte wird festgelegt, welche Menüpunkte einem DocuWare-Benutzer im DocuWare-Hauptfenster, im DocuWare Viewer und im Zusatzmodul ACTIVE IMPORT zur Verfügung stehen. Des Weiteren wird ein Teil seines Handlungsrahmens in der DocuWare-Administration bestimmt.

Durch die Zuweisung der einzelnen Menüfunktionen als Rechte lässt sich genau festlegen, welche Funktionalitäten einem Benutzer im DocuWare-System zur Verfügung stehen sollen. Für Aktionen, die er nicht ausführen darf, werden ihm die entsprechenden Menüpunkte entzogen. Soll ein Mitarbeiter beispielsweise keine Dokumente heften und entheften können, werden ihm die Menüpunkte Heften und Entheften nicht zugewiesen. Meldet sich der Mitarbeiter in DocuWare an, sind bei ihm im Menü diese Menüpunkte nicht enthalten.

Die Einschränkung der Menüfunktionen lässt sich auch verwenden, um den Benutzern nicht mehr Menüpunkte anzuzeigen als diese für ihre Arbeit mit DocuWare benötigen. Dadurch wird die Bedienbarkeit noch übersichtlicher und Anwendungsfehler werden ausgeschlossen.

4.3.3 Einstellungen auf Archivebene Archivrechte werden in jedem Fall zu Profilen zusammengefasst. Es ist nicht möglich Archivrechte - ähnlich wie die funktionalen Rechte - direkt einzeln Benutzern zuzuweisen. Nur die Archivprofile können Benutzern bzw. Rollen zugewiesen werden.

Genauso wie die funktionalen Rechte sind auch die Archivprofile additiv. Das heißt, werden einem Benutzer mehrere Archivprofile eines Archivs zugewiesen, erhält er alle Rechte, die diesen Profilen gemeinsam sind. Weiterhin bedeutet dies, das Rechte nicht eingeschränkt, sondern nur erweitert werden können. Dieses Verhalten wird im Kapitel 4.3.5 näher erläutert.

Im Folgenden werden Archiv- und Feldrechte und Rechte auf Indexfilter näher erläutert.

Archivrechte Die Archivrechte gliedern sich in administrative und allgemeine Rechte. Administrative Archivrechte sind zum Beispiel: Archivrechte für Benutzer ändern, Such- und Ablagemasken sowie Ergebnislisten zu diesem Archiv erstellen und das Archiv migrieren. Allgemeine Archivrechte sind zum Beispiel Ablegen, Suchen und Dokument löschen.

Die Archivrechte beziehen sich immer auf jeweils ein Archiv mit allen darin enthaltenen Dokumenten. Für verschiedene Archive können verschiedene Archivrechte vergeben werden.

Feldrechte Zusätzlich zu den allgemeinen Archivrechten können Rechte auf Feldebene vergeben werden. Diese Rechte beziehen sich nur auf das entsprechende Feld, nicht auf alle Felder des Archivs. Zu den Feldrechten gehören unter anderem das Suchrecht, das Recht, Feldinhalte zu ändern, und das Recht, Einträge zu verwenden, die nicht in einer Auswahlliste vorhanden sind.

Indexfilter Um innerhalb eines Archivs Rechte differenziert nach Indexeinträgen vergeben zu können, stehen Indexfilter zur Verfügung. Über die Indexfilter können bestimmte Dokumente anhand ihrer Indexeinträge ausgewählt werden. Die Limitierung der Dokumentenzugriffe über Indexdaten bietet sich insbesondere dann an, wenn Dokumente sensiblen Inhalts in einem Archiv zusammengefasst werden.

Beispiel: In einem Personalarchiv sind die Dokumente der Mitarbeiter gespeichert. Als Indexeintrag steht unter anderem der Mitarbeitername zur Verfügung. Mitarbeiter der Personalabteilung haben Zugriff auf alle Dokumente, während der einzelne Mitarbeiter nur auf die Dokumente Zugriff hat, die mit seinem Namen in den Indexdaten abgelegt sind.

Details zur Verwendung von Indexfilter sind im Anhang 11.3 Verwendung von Indexfiltern in Archiven, Seite 46 beschrieben.

Page 18: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 18 Januar 2007

Dialoge Zu jedem Archiv können jeweils mehrere Such- und Ablagemasken, Ergebnislisten und Informations-Dialoge erstellt werden.

Für alle diese Dialoge kann die Sichtbarkeit der Indexfelder im einzelnen festgelegt werden. Such- und Ablagemasken können vorbelegt werden, so dass unberechtigte Zugriffe und Änderungen schon durch die Dialogdefinition ausgeschlossen werden.

Weitere Informationen zu Definitionen von Dialogen finden Sie im Anhang 11.2 Definition von Rechten in Archiven, Seite 45.

4.3.4 Vordefinierte Rollen Nach der Erstinstallation existieren in jedem DocuWare-System vordefinierte Rollen mit vordefinierten Profilen, um die Verwaltungsaufgaben ebenfalls dem Berechtigungskonzept zu unterwerfen. Diese vordefinierten Rollen können verschiedenen Benutzern oder Benutzergruppen zugewiesen werden.

System-Administrator Der System-Administrator verwaltet das System aus Sicht der generell benötigten Basiskomponenten und der Hardware. Dazu gehören unter anderem die Verwaltung der Datenbankverbindungen, die Verwaltung der Kommunikationswege und die Ablagepfade der Dokumente. Der System-Administrator kann so definiert werden, dass er keinen Zugriff auf einzelne Organisationsinformationen hat und insbesondere nicht in die detallierte Benutzerverwaltung eingreifen kann. Allerdings kann nur er die Rolle „System-Administrator“ anderen Benutzern zuweisen. Dies ist nicht in der Benutzerverwaltung der Organisation möglich.

Der System-Administrator hat weiterhin die Aufgabe, Installation und Updates der Server-Software durchzuführen.

Nach der DocuWare-Installation übernimmt er gleichzeitig die Rolle des Organisations-Administrators für alle Organisationen. Mit jeder neu erzeugten Organisation übernimmt der System-Administrator zunächst automatisch auch die Rolle des Organisations-Administrators, die dann aber einer anderen Person zugewiesen werden kann.

Aufgaben System-Administrator

• Hardware, Betriebssystem, Datenbank • Installation DocuWare-Server-Module

Konfiguration systemweiter Einstellungen zu:

• Authentication Server • Content Server • Workflow Server • SAP HTTP Server • Verbindungen

o Datenbanken o Datenfiles o SAP-Remote-Verbindungen o Zeitstempeldienste

• Speichersysteme • Benutzerverzeichnisse • Protokollierung

Organisations-Administrator Der Organisations-Administrator verwaltet eine Organisation. Ein DocuWare-System kann eine oder auch mehrere Organisationen mit jeweils eigenem Organisations-Administrator(en) umfassen. Der Organisations-Administrator verwaltet insbesondere die Rechte, Benutzer und Benutzergruppen seiner Organisation. Die Rolle beinhaltet keine Zugriffsrechte auf Archive und deren Verwaltung.

Page 19: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 19 © DocuWare AG

Zur Übernahme dieser Rolle ist kein technisches Detailwissen der IT-Umgebung erforderlich. Der Organisations-Administrator kann die Rolle auch anderen Benutzern zuordnen oder entziehen. Insbesondere kann die Rolle auch einem System-Administrator entzogen werden.

Aufgaben Organisations-Administrator (je Organisation)

• Client-Installationen je Organisation • Lizenzen • DocuWare-Client

Konfiguration je Organisation: • Client-Systeme und Briefkörbe • Stempel/Signaturen • Viewer und Fremdapplikationen • Auswahllisten • Validierungen • Benutzer und Gruppen • Protokollierung • Workflows

Archiv-Besitzer Das Recht des Archiv-Besitzers wird vom DocuWare-System automatisch der Person zugeordnet, die das Archiv anlegt. Sie kann dieses Recht sowie auch andere Rechte zur Erledigung von Verwaltungsaufgaben an andere Benutzer weitergeben.

Der Besitzer verwaltet die Archivstruktur (z.B. Index- und Plattenstruktur) und vergibt die Zugriffsrechte auf das Archiv, in dem er Archivprofile erzeugt. Bezogen auf das Archiv macht der Besitzer ebenfalls die Vorgaben für den Organisations-Administrator, damit dieser die Zuordnungen der Archivprofile zu Benutzern bzw. Rollen vornehmen kann.

Aufgaben Archiv-Besitzer (je Archiv)

• Volltextindexierung • Benutzte Datenbank-Verbindung • Dokumentablage und Plattenkonzept • Indexfelder • Rechte für das Archiv • Dialoge für Ablage, Suchen und

Ergebnisliste • Protokollierung

4.3.5 Zusammenspiel der Rechte und Berechtigungen

Mitglied mehrerer Gruppen, Besitzer mehrerer Rollen oder Profile Rechte sind immer additiv. Das heißt, die Summe der zugewiesenen Rechte eines DocuWare-Benutzers bildet den Handlungsspielraum dieses Benutzers.

Ist ein Benutzer Mitglied mehrerer Gruppen, hat er alle Rechte, die über diese Gruppen und ihre Rollenzuteilung verfügbar sind. Sind einem Benutzer mehrere Rollen oder Profile zugewiesen, hat der Benutzer alle Rechte zusammen, die über diese Rollen beziehungsweise Profile zugeteilt werden.

Page 20: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 20 Januar 2007

Beispiele:

• Ein Benutzer hat sein Rechtespektrum über eine Rolle erhalten. Weist man diesem Benutzer eine weitere Rolle mit weniger Rechten zu, ändert sich für den Benutzer nichts, da die Rechte additiv sind. Um ihm die Rechte einzuschränken, muss man ihm die ursprüngliche Rolle entziehen. (Entsprechendes gilt auch für Gruppen.)

• Ein Benutzer ist Mitglied zweier Gruppen und hat über die Rollen dieser Gruppen sein Rechtespektrum erhalten. Entzieht man ihm die Mitgliedschaft einer Gruppe, so verliert er nicht automatisch alle Rechte, die ihm über die Rollen dieser Gruppe zugewiesen sind, sondern nur diejenigen, die über die andere Gruppe nicht zugeteilt werden.

Entzieht man einem Benutzer die Mitgliedschaft der Gruppe 2, so verliert er nur die Rollen G und H, da er über die Rollen A, B und C noch über die Gruppe 1 verfügt. (Entsprechendes gilt auch für Rollen und Profile, die einem Benutzer zugewiesen sind.)

Funktionale Rechte und Archivrechte Die Archiv- und Funktionsrechte werden unabhängig voneinander vergeben. Für einen sinnvollen Rechtekanon sind sie aber nicht immer unabhängig voneinander zu sehen. Hier ein Beispiel:

Soll ein Benutzer in einem Archiv suchen können, benötigt er auf Archivebene das Recht Suchen und eine ihm zugewiesene Suchmaske. Bei den Funktionsrechten benötigt er zudem das Menürecht Suchen, da er anderenfalls die Suchmaske nicht öffnen kann. Entsprechend ist dies für das Ablegen in einem Archiv.

Dialogeinstellungen und Archivrechte Die Möglichkeiten, die ein Benutzer in einem Archiv hat, resultieren aus den Archivrechten, die ebenfalls das entsprechende „Handwerkszeug“ – die Dialoge – umfassen. Beispiele hierzu finden Sie im Anhang 11.2 Definition von Rechten in Archiven, Seite 45.

Feldeinstellungen und Archivrechte Die Einstellungen zu den einzelnen Archivfeldern und die zugewiesenen Archivrechte überschneiden sich in einigen Bereichen. So ist es möglich, ausgewiesenen Benutzern spezielle Rechte zur Verfügung zu stellen, während „normale“ Benutzerrechte über die Feldeinstellungen gesteuert werden. Beispiele hierzu finden Sie im Anhang 11.2 Definition von Rechten in Archiven, Seite 45.

Fazit: Die Archivrechte eines Benutzers übersteuern jeweils die Feldrechte. Die kombinierte Nutzung beider Schemata sollte daher mit Bedacht erfolgen.

Verwendung von Indexfiltern Allgemeine Archivrechte, wie z.B. das Ablegen, können mit Archivprofilen basierend auf Indexfilterkriterien kombiniert werden. Somit ist eine feingranulare Abstimmung von Rechten auf Archivebene möglich, die von speziellen Indexeinträgen abhängig sind.

Gruppe 1 mit den Rollen

Gruppe 2 mit den Rollen

A

B

CD

E

F G

H

Page 21: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 21 © DocuWare AG

Eingehende Erläuterungen wie Archivprofile mit Indexfiltern aufgebaut und angewendet werden, finden Sie im Anhang 11.3 Verwendung von Indexfiltern in Archiven, Seite 46.

4.4 High Security Systeme Ein DocuWare System kann auf „High-Security“ gesetzt werden.

Auf Organisationsebene bedeutet dies, dass der Organisations-Administrator in der Lage ist, bestimmten Benuztern die Eigenschaft „High-Security“ zu zuweisen. Für diese Benutzer kann das Passwort dann nicht mehr durch den Organisations-Administrator zurück gesetzt werden. Nur der Benutzer selbst kann das Passwort ändern. Hat ein solcher Benutzer sein Passwort vergessen, muss er in der Organisation neu angelegt werden. Für solche Benutzer ist es auch nicht möglich, sich über ein Trusted Login (siehe Kapitel 4.2 Login-Verfahren) anzumelden, da beim Trusted Login die Sicherheit nicht über DocuWare gewährleistet wird.

Ist ein System auf „High-Security“ gesetzt, können auch ausgewählte Archive auf „High-Security“ gesetzt werden. Bei diesen Archiven ist es dann nicht mehr möglich, Archiv-Profile Rollen zu zuweisen, sondern die Archiv-Profile müssen Benutzern direkt zugewiesen werden. Diese Benutzer müssen über die „High-Security“-Eigenschaft verfügen. Somit ist ausgeschlossen, dass für besonders sensible Bereiche ein Zugriff „per Zufall“ über unkontrollierte Gruppen- und Rollenzuweisungen erfolgen kann.

Page 22: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 22 Januar 2007

5 Sichere Ablagen Neben dem Authentifizierungssystem und dem Berechtigungskonzept existieren weitere Maßnahmen, um die Ablagen gegen Missbrauch und Inkonsistenzen zu schützen. Dazu gehören die Sperrung von Dokumenten, die überarbeitet werden, die Verschlüsselung von Ablagen und der Einsatz von Stempeln und Elektronischen Signaturen.

5.1 Dokumenten-Sperrung in Archiven Wenn ein Benutzer ein archiviertes Dokument anzeigt oder bearbeitet, ist das Dokument für alle anderen Benutzer gesperrt. Andere Benutzer können das Dokument zwar im Anzeigeprogramm (Viewer) betrachten, aber keine Anmerkungen oder Stempel setzen und es nicht im Bearbeitungsprogramm öffnen (Read-Only-Modus).

Technisch ist die Sperrung von Dokumenten über das so genannte „Locking“ realisiert. Dabei wird für jedes Archiv eine Locking-Tabelle angelegt. Sobald ein Dokument von einem Benutzer geöffnet wird, wird in dieser Tabelle ein Eintrag vorgenommen, dass das entsprechende Dokument gesperrt ist. Weiterhin wird vermerkt wann und von wem es gesperrt wurde.

Wenn nun ein weiterer Benutzer das Dokument öffnen möchte, erhält dieser die Meldung, dass das Dokument zum Bearbeiten gesperrt ist. Er kann das Dokument lediglich im Lese-Modus anzeigen lassen. Alle Möglichkeiten, auf dem Dokument Anmerkungen oder Stempel zu erstellen, sind damit abgeschaltet. Dies funktioniert erst dann wieder, wenn der erste Benutzer die Bearbeitung abgeschlossen und das Dokument an das DocuWare-Archiv zurückgegeben hat.

Sämtliche Sperrdaten werden in der Datenbank vermerkt. Spezielle Mechanismen sorgen dafür, dass Sperren und Freigaben auch nach dem Ausfall des Clients, der Anwendung oder des Servers wieder in einen konsistenten Zustand gebracht werden.

5.2 Check-out Locking ist systemgesteuert und verhindert inkonsistente Dokumente durch unbeabsichtigte gleichzeitige Bearbeitung durch unterschiedliche Benutzer. In der Praxis ist es jedoch häufig so, dass Dokumente über längere Zeit in einem Status der Bearbeitung sind, auch wenn sie während dieser Zeit nicht kontinuierlich von einem Benutzer geöffnet sind. Dazu dient die Check-out-Funktionalität.

Das Check-out ist benutzergesteuert und unabhängig von Systemzuständen. Das heißt, ein Dokument kann über Tage und Wochen, zum Beispiel für längere Bearbeitung oder Offline-Benutzung ausgecheckt sein. Das Check-out ist somit unabhängig davon, ob die Datei geöffnet oder der Benutzer eingeloggt ist.

Auch auf ausgecheckte Dokumente bleibt der lesende Zugriff erhalten. Lediglich Änderungen an Text, Anmerkungen oder Stempel sind nicht möglich. Durch die Ablage einer neuen Version erfolgt implizit ein „Check-in“.

5.3 Verschlüsselte Ablagen Naturgemäß müssen Administratoren erweiterte Rechte bei der Benutzung des Systems haben. Da – speziell in größeren Unternehmen beziehungsweise bei mehreren Organisationen – auch Administratoraufgaben auf verschiedene Personen verteilt sein können, verfügt DocuWare über die bereits beschriebenen unterschiedlichen Rollen mit entsprechend verschiedenen Berechtigungen. In Fällen, bei denen auch diese Sicherheit nicht ausreicht, kann zusätzlich eine Verschlüsselung erfolgen.

Verschlüsselt werden in diesem Fall die Dokumente und optional die zugehörigen Header-Dateien. Volltext-Dateien können nicht durch DocuWare verschlüsselt werden. Der Volltext-Index ist jedoch ohnehin nur bei detaillierter Kenntnis des verwendeten Verfahrens interpretierbar. Die Indexdaten in der Datenbank sind ebenfalls nicht verschlüsselt. Enthalten die Indexdaten sehr sensible Informationen, ist auf die Möglichkeiten des Datenbank-Anbieters zurückzugreifen.

Page 23: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 23 © DocuWare AG

Es ist zu beachten, dass verschlüsselte Ablagen für die Nutzer nur bei Verfügbarkeit des entsprechenden Schlüssels nutzbar sind. Dabei sind die Schlüssel für die Entschlüsselung der Dokumente im Dokument-Header gespeichert. Die Dokument-Schlüssel werden über ein assymetrisches Verfahren mit einem in der Datenbank gespeicherten Schlüssel entschlüsselt. Da die Dokumente ohne den Schlüssel in der Datenbank nicht entschlüsselt werden können, muss bei verschlüsselter Ablage darauf geachtet werden, dass von den DocuWare-System-Tabellen ein regelmäßiges Backup erstellt wird, um bei Verlust der Datenbank insbesondere die Schlüssel-Tabellen wieder herstellen zu können. Für das Backup der Datenbank ist auf Datenbank-Mechanismen des Herstellers zurückzugreifen.

Page 24: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 24 Januar 2007

6 Stempel und Elektronische Signaturen

6.1 Stempel generell Das DocuWare-System verfügt über ausgeprägte Möglichkeiten zur Unterstützung der Arbeitsprozesse. Dies manifestiert sich unter anderem darin, dass – analog zu traditionellen Werkzeugen – Stempel und Unterschriften in elektronischer Form angebracht werden können. Elektronische Signaturen sind dabei Stempel mit besonderen Qualitäten.

Als Stempel-Typen werden die verschiedenen Erscheinungsformen differenziert: Text

Dieser Stempel besteht aus einem beliebigen Text, in den Variablen eingebaut werden können, die zur Laufzeit vom Benutzer gefüllt werden und Indexfeldern zugewiesen sind. In diesen Formfeldern können ebenfalls Auswahllisten, wie in Archivfeldern gewohnt, verwendet werden. Rahmen, Schriftart, Farben sind anpassbar.

Freihand-Zeichnung Es wird ein entsprechendes Feld definiert, in das der Nutzer zur Laufzeit beliebige grafische Informationen eingeben kann. Die Eingabe kann mit der Maus oder einem anderen Eingabegerät erfolgen. Abgespeichert werden nicht nur die Grafik, sondern auch die biometrischen Verlaufsmerkmale1 bei der Erstellung. Die Abbildung klassischer Unterschriften in bestehenden Abläufen ist somit zusammen mit der hohen Sicherheit der Biometrie abbildbar. Als Endgeräte bieten sich vor allem die so genannten „Tablet-PCs“ an, weil bei ihnen Eingaben durch Schreiben auf dem Bildschirm möglich sind und auch die Bauformen die Handhabung analog einem Notizblock erlauben.

Bitmap Eine beliebige Bitmap in einem der unterstützten Grafikformate ist einbindbar. Im einfachsten Fall kann das Bild eines bisher benutzten Stempelabdrucks oder einer Unterschrift so direkt in die elektronische Welt übernommen werden.

In der Praxis erlaubt dies eine hohe Anpassung an gewohnte Abläufe und die Abbildung bekannter Erscheinungsformen, zum Beispiel Stempellayouts, -farben etc.. Ein Stempel kann dabei eine Reihe weiterer Attribute aufweisen, die die verfügbare Funktionalität bestimmen. Beispielsweise kann die Benutzung nur für ein bestimmtes Archiv definiert sein oder an ein Passwort gebunden werden oder der Stempel nach einer bestimmten Zeit automatisch mit dem Dokument gespeichert werden.

Über das Stempeln lassen sich Indexfelder des Dokuments automatisch mit Werten füllen oder ändern. Beispielsweise ist so die automatische Dokumentation der Bearbeitung mit Name, Datum, Abteilung etc. möglich.

Stempel können auf Organisationsebene durch Administratoren definiert und Benutzern zugeordnet werden. Weiterhin kann sich ein Anwender auch eigene Stempel kreieren, die dann nur für ihn verfügbar sind.

Stempel werden als spezielle Anmerkungen in der XML-Header-Datei des Dokuments gespeichert. Bei der Reproduktion des Dokuments kann somit eine Darstellung mit oder ohne Stempel erfolgen.

6.2 Elektronische Signaturen Ein definierbares Attribut des Stempels ist „Signatur“. Dabei ist an Signaturen gemäß den Definitionen der entsprechenden EU-Richtlinie gedacht. Für diesen Fall stehen zur Verfügung:

Einfache Signatur (ohne Zertifikat) Zertifikats-basierte Signatur (mit Zertifikat und privatem Schlüssel) Zeitstempel (mit Zertifikat, aber nicht personengebunden)

1 Die konkreten Attribute sind abhängig von der eingesetzten Hardware und der Unterstützung der entsprechenden Microsoft-Schnittstelle durch diese Hardware. DocuWare sieht die folgenden Attribute vor: Anzahl der Punkte in X- und Y-Richtung, Auflösung x/y, Aufpressdruck in der Normalen/Tangente, Neigungswinkel x/y, Azimutorientierung, Altitudenorientierung, Wendungswinkel, Neigungsrotations-, Roll-Rotations-, Scherungswinkel.

Page 25: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 25 © DocuWare AG

Über die Administration kann vorgegeben werden, welche Signaturarten verfügbar sind. Für den Benutzer ergibt sich kein Unterschied bei der Verwendung der verschiedenen Signaturarten. Die Unterschiede ergeben sich lediglich durch die Nutzung der Zertifikate.

6.2.1 Token / Zertifikate Ein Zertifikat ist ein „elektronischer Identitätsausweis“, in dem ein „Zertifizierungsdiensteanbieter“ (kann unternehmensintern, eine Behörde oder ein anderes Unternehmen sein) die Überprüfung einer Identität bescheinigt, ein Schlüsselpaar zuordnet und die Angaben mit der eigenen elektronischen Unterschrift bestätigt. Diese Daten können auf einer spezifischen Hardware „Token“ (SmartCard, USB-Stick o.ä.) gespeichert werden, sind aber auch auf Disketten oder der Festplatte vorhaltbar (Soft Token). Windows bietet auf der Festplatte speziell geschützte Bereiche (Zertifikatsspeicher) mit Import-/Exportfunktionen an.

Wie streng die Identitätsprüfung erfolgte, lässt sich aus den enthaltenen Klassenbezeichnungen zusammen mit den Geschäftsbedingungen ersehen. Das technische Format der verschiedenen Zertifikatsklassen unterscheidet sich nicht. Das heißt, technisch wird die Signatur gleichartig erstellt, unabhängig von der Qualität des Zertifikats.

Für das DocuWare-System ist es somit technisch unerheblich, ob es sich um qualifizierte Zertifikate gemäß den nationalen Gesetzen der europäischen Länder handelt. Wenn der Zertifizierungsdiensteanbieter (Trust Center, Certification Authority) ein qualifiziertes2 Zertifikat liefert und die angeschlossene Signaturerstellungseinheit (z.B. SmartCard-Reader) entsprechend als sicher anerkannt wird, erzeugt DocuWare automatisch „qualifizierte Signaturen“, die in Europa der traditionellen Unterschrift gleichgesetzt sind. Ansonsten handelt es sich im Sinne der europäischen Gesetze um eine „fortgeschrittene Signatur“.

Zertifikate für DocuWare können sowohl von internen Organisationseinheiten kommen als auch von externen Zertifizierungsdiensteanbietern übernommen werden. Die Speicherung der Zertifikate erfolgt unter Nutzung der Möglichkeiten des Windows-Betriebssystems. Das heißt, dass sowohl hardwarebasierte Lösungen (SmartCard, USB-Stick) als auch reine Software-Zertifikate unterstützt werden. Es handelt sich somit um ein Verfahren mit „Public Key Infrastructure“ (PKI), so wie es auch in dem international standardisierten PKIX-Modell definiert ist.

Die DocuWare-Signatur unterstützt beliebige Zertifikate, sofern sie im Standard X.509 vorliegen und im Windows Zertifikatsspeicher gespeichert sind. DocuWare stellt keine spezifischen Anforderungen an die Herkunft der Zertifikate. Weitere relevante Standards werden berücksichtigt, und die Signatur wird gemäß XML-DSIG im Dokument-Header gespeichert.

6.2.2 Hash / Prüfsumme Die Bezeichnung als Signatur bedingt, dass für das gestempelte Dokument eine „Prüfsumme“ berechnet wird (Hashing-Verfahren), und Daten des Nutzers mit dem Dokument verbunden werden. Eventuelle spätere Modifikationen des Dokumentes sind aufgrund abweichender Prüfsumme sofort erkennbar.

Bei dem zertifikatsbasierten Verfahren wird die erwähnte Prüfsumme anschließend mit dem privaten Schlüssel des Nutzers verschlüsselt und in der Header-Datei des Dokuments abgelegt.

Es ist einstellbar, welchen Umfang die Signatur haben soll, das heißt, welche Informationen in das Hashing-Verfahren einfließen. Da bei DocuWare ein Dokument aus vielen unterschiedlichen Dateien („DocuWare-Seite“) bestehen kann, kann das Hashing und damit die Signatur sämtliche dieser Dateien umfassen. Es kann jedoch auch definiert werden, dass nur die aktuell angezeigte Seite (angezeigte Datei) in die Signatur einfließen soll. Für Dokument oder aktuelle Seite können die Anmerkungen ebenfalls signiert werden.

2 Um „qualifizierte“ Zertifikate ausgeben zu dürfen, muss der Anbieter eine Vielzahl von organisatorischen und technischen Voraussetzungen erfüllen. Qualifizierte Zertifikate sind somit besonders vertrauenswürdig.

Page 26: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 26 Januar 2007

6.2.3 Zeitstempel und Massensignatur Weiterhin unterstützt DocuWare verschiedene Zeitstempel-Dienste. Dabei handelt es sich um Signaturen, die nicht personengebunden sind und durch externe Zeitstempeldienstleister vergeben werden. Es ist damit sichergestellt, dass der Stempel eine gültige Zeit enthält, was bei der Benutzung der Systemzeiten nicht garantiert werden kann. Zeitstempel lassen sich mit anderen zertifikatsbasierenden Signaturen kombinieren.

Weiterhin werden so genannte Massensignaturen unterstützt, bei denen eine große Anzahl gleichartiger Dokumente mit jeweils eigenen Signaturen versehen wird, ohne das der Nutzer über mehrfache PIN-Eingabe sich jedes Mal wieder als rechtmäßiger Besitzer des Tokens ausweisen muss. Das Verfahren wird üblicherweise bei gescannten Images oder bei umfangreichem Output-Management, z.B. Rechnungsversand angewendet.

6.2.4 Signaturen verifizieren In der Client-Konfiguration kann eingestellt werden, ob eine Signatur im Viewer automatisch verifiziert wird. Der Nutzer kann aber auf jeden Fall die Verifikation der Signatur eines empfangenen Dokumentes manuell veranlassen.

Dies gilt auch für die unterstützten Zeitstempeldienste. Typischerweise wird mit der Signatur auch das Zertifikat inkludiert, um so dem Empfänger die Verifikation der Signaturen zu erleichtern.

Zur Verifikation gehört einerseits die Prüfung des Hash-Werts, um Modifikationen zu erkennen, und andererseits die Prüfung des Zertifikates, zum Beispiel Gültigkeitszeitraum und Vertrauenswürdigkeit der ausstellenden Organisation. Soweit verfügbar wird auch gegen vorhandene Sperrlisten geprüft.

6.2.5 Signaturen von Fremdprogrammen Da DocuWare unterschiedlichste Arten von Dokumenten handhaben kann, können diese auch mit Signaturen ausgestattet sein. DocuWare sorgt dafür, dass unabhängig von der Existenz einer Signatur das Dokumentenhandling für den Nutzer gleichartig erfolgt.

Bei in Fremdformaten eingebetteten Signaturen oder spezifischen Signaturformaten kann DocuWare jedoch keine Verifizierung übernehmen, da diesbezügliche Standards fehlen. Dies obliegt weiterhin den zugehörigen Applikationen.

6.2.6 Administration der Signaturen Innerhalb des Windows-Betriebssystems sind an jedem Client die Root-Zertifikate der Zertifizierungsdiensteanbieter und die Benutzer-Zertifikate einzuspielen. Dies ist nur möglich, wenn der Benutzer über Windows-Administratoren-Rechte verfügt.

Die Administration der Signaturen und Stempel der Nutzer obliegt dem Organisations-Administrator. Er definiert die verfügbaren Stempel und Signaturtypen. Signaturtypen sind Filter über die einzelnen Attribute der Zertifikate, die dazu dienen, nur die Zertifikate zur Signaturerstellung zuzulassen, die von einem bestimmten Zertifikatsdiensteanbieter ausgestellt wurden. Dies beinhaltet auch die Möglichkeit, einzelnen Benutzern nur die Nutzung bestimmter Zertifikate bzw. bestimmter Stempel zu ermöglichen. Damit sind weiterhin Vorgaben über den gestempelten/signierten Umfang verbunden.

Generell gilt, dass ein Benutzer nur die Stempel und Signaturen nutzen kann, die ihm zugeordnet sind oder die in zugeordneten Profilen vorgesehen sind und für die er ein Zertifkat an seinem Client besitzt.

6.2.7 Signatur-Protokolle und -Standards DocuWare nutzt die Standards des PKIX-Modells sowie die etablierten Microsoft-Schnittstellen. Die Selektion orientierte sich an den Empfehlungen des ETSI ESI (European Telecommunications Standards Institute, Electronic Signature Initiative) - soweit möglich und sinnvoll.

Die Signaturdaten werden in einer XML-Struktur im Dokument-Header gespeichert. Die XML-Struktur entspricht dem XML DSIG Standard. Diese Struktur enthält die Referenzen auf die Dokumentdateien in Form von URLs.

Der Gegenstandsbereich der Signatur wird, gemäß W3C XML-DSIG-Spezifikation, durch eine Liste von URLs definiert. Diese Liste von Referenzen wird mitsigniert, so dass Manipulationen am Gegenstandsbereich der Signatur ausgeschlossen sind beziehungsweise erkennbar werden.

Page 27: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 27 © DocuWare AG

Der Dokument-Header wird unmittelbar mit dem Dokument gespeichert.

Die ETSI ESI Initiative resultiert aus der EESSI (European Electronic Signature Standardisation Initiative). Das Ziel dabei ist, die weitestgehende Vereinheitlichung der in der EU verwendeten Signaturstandards. Obwohl noch relativ neu, finden die ETSI Richtlinien zunehmende Resonanz bei Anbietern und Anwendern, speziell im Bereich der öffentlichen Verwaltung.

Zur Erstellung and Verifizierung der Signatur wird die Kryptographie-Schnittstelle von Microsoft verwendet. Die Signaturerstellungseinheit (typischerweise SmartCard und Reader) muss diese Schnittstelle unterstützen.

Page 28: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 28 Januar 2007

7 Sichere Kommunikation und Transaktion Generell erfolgt die Kommunikation zwischen den DocuWare-Komponenten (Server, Clients, Fremdsysteme) in gesicherter Form. Der System-Administrator kann dies je ein- und ausgehender Verbindung abschalten. Bei eingeschalteten Sicherheitsmechanismen steht die Kommunikation über verfügbare Windows-Mechanismen oder SSL zur Verfügung. Für den Fall der Nicht-Verfügbarkeit eines Sicherheitsverfahrens auf einer oder beiden Seiten können Alternativen vorgegeben werden.

Unterstützt werden die Microsoft-Protokolle NTLM und Kerberos. Wegen der höheren Sicherheit wird die Benutzung von Kerberos empfohlen. Lediglich wenn das Partner-System dies nicht unterstützt, beispielsweise bei älteren Windows-Versionen, wird aus Kompatibilitätsgründen auch NTLM angewendet.

Bei Kerberos handelt es sich um ein sogenanntes „Ticket Granting Protocol“ (siehe auch Zugangssicherheit). Es wurde am MIT in Boston entwickelt, ist ein IETF-Standard und genießt breite Unterstützung.

Der Zugriff von Clients aus dem Internet oder Intranet auf die DocuWare-Server erfolgt nach einer Verifikation der Identität der Kommunikationspartner (siehe auch Login via Internet) immer über verschlüsselte Kommunikationskanäle. Für die Kommunikation außerhalb von Domänen und über öffentliche Zugangskanäle wird die Verwendung von SSL-Verschlüsselung empfohlen.

Für die SSL-Kommunikation müssen die Server über ein entsprechendes Zertifikat verfügen, das im Windows-Zertifikatsspeicher des jeweiligen Computers gespeichert wird.

Bei dem Verlust einer Verbindung zwischen den Servern wird diese automatisch neu aufgebaut. Ist eine zentrale Komponente ausgefallen, können die Funktionen von einer redundanten Komponente übernommen werden (s.a. Ausfallsicherheit).

Um bei sensiblen Operationen sicherzustellen, dass keine inkonsistenten Systemzustände entstehen können (z.B. Serverausfall im Moment der Ablage eines Dokumentes im Archiv), ist ein Transaktionsverfahren implementiert. Wenn einzelne Arbeitsschritte einer solchen Transaktion nicht vollständig ausgeführt werden können, werden die bereits erfolgten Änderungen automatisch rückgängig gemacht (Rollback).

Die Dokumentspeicherung, die sowohl in der Datenbank als auch in der Dateiablage diverse Aktualisierungen verursacht, ist als Transaktion realisiert, so dass immer ein konsistentes System gewährleistet ist.

Page 29: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 29 © DocuWare AG

8 Ausfallsicherheit In einem komplexen System, wie es ein DMS in einer heterogenen IT-Infrastruktur darstellt, gibt es eine Vielzahl möglicher Ausfälle. Daher gibt es auch eine Reihe von Maßnahmen, die eingesetzt werden können, um Ausfälle zu vermeiden und/oder die organisatorischen und technischen Folgen von Ausfällen zu minimieren. Letztendlich handelt sich dabei immer um die Abwägung von Kosten und Nutzen, weil die letzten Prozentpunkte bei dem Grad der Ausfallsicherheit unverhältnismäßig viel Kosten verursachen.

Ein wesentliches Element im Falle eines DMS sind Ausfälle der Server-Plattformen. Hierzu gibt es sowohl von den Hardware- als auch von den Systemsoftware-Lieferanten diverse Lösungen, bis hin zu „geclusterten“ Systemen, die – neben der erhöhten Ausfallsicherheit – gleichzeitig eine Lastverteilung zwischen den Komponenten vornehmen, ohne dass sich die DocuWare-Software damit befassen muss. Beispielsweise sind sowohl von Microsoft als auch für Linux-Systeme entsprechende Architekturen und ergänzende Systemsoftware auf dem Markt verfügbar.

Der Authentication Server speichert sämtliche Einstellungen in der Datenbank und arbeitet selbst „stateless“, das heißt es werden keine Daten programmintern zwischengespeichert. Auf diese Weise kann er die Möglichkeiten der obigen Plattformen uneingeschränkt nutzen. Er kann also auf einem System, das sich aus mehreren Rechnern zusammensetzt, ablaufen. Der Content Server arbeitet „stateful“. Sofern mehrere Content Server parallel auf den einzelnen Systemen eingesetzt werden, ist aber ebenfalls die Nutzung der zusätzlichen Performance und Sicherheit dieser Plattformen möglich.

Sehr ausgefeilte Verfahren liegen auch für Datenbank-Server vor. Aufgrund der essentiellen Bedeutung der Datenbank für das Funktionieren des DocuWare-Systems wird empfohlen, diese Möglichkeiten zu nutzen. Soweit es sich um die Speichertechnologien, wie beispielsweise Einsatz von RAID-Laufwerken handelt, gilt wiederum, dass DocuWare von solchen Technologien profitiert, selbst aber keinen Einfluss auf diese Komponenten nimmt.

Ein wesentliches Element, die Verfügbarkeit der DocuWare-Applikation zu erhöhen, ist die Installation redundanter DocuWare-Server auf hochverfügbaren Plattformen und Netzwerken. Durch gesicherte Kommunikation und Transaktionsverfahren leistet DocuWare eigene Beiträge zur Ausfallsicherheit. Auch die ausgefeilte Identitätsprüfung der Nutzer und der Systeme untereinander (siehe Zugangssicherheit) leistet einen entsprechenden Beitrag, weil damit Ausfälle aufgrund vorsätzlichen oder grob fahrlässigen Verhaltens unterbunden werden.

Nicht die oben erwähnten Möglichkeiten der Plattformen, sondern nur die Beiträge, die DocuWare selbst zur Ausfallsicherheit leistet, werden im Folgenden detaillierter beleuchtet.

8.1 Ausfall von Authentication Server oder Content Server Bei dem Login ordnet der Authentication Server dem Benutzer nach der erfolgreichen Authentifizierung und Lizenzüberprüfung benötigte und verfügbare Server, wie etwa Content Server, zu. Ist der entsprechende Content Server nicht verfügbar, wendet sich der Client wieder an den Authentication Server, der darauf hin zunächst mit dem Content Server kommuniziert und durch diese Anfrage gegebenenfalls einen Ausfall des Content Servers bemerkt. Bei redundanter Auslegung der Server lässt sich somit ein Content Server-Ausfall durch eine Neuanmeldung umgehen und der Benutzer kann weiterhin mit DocuWare arbeiten.

Erhält ein aktiver Client im laufenden Betrieb keine Antwort auf seine Anforderungen bei dem Content Server innerhalb einer bestimmten Zeit, so muss er bei dem Authentication Server um die Erneuerung seines Tickets anfragen. Damit kommt der oben erwähnte Mechanismus wieder zum Tragen.

Aufgrund der Transaktionsorientierung des Content Server werden Änderungen in den Datenbanken erst mit dem abschließendem „Submit“-Kommando wirksam. Bleibt dieses Kommando aufgrund eines Ausfalls des Servers aus, so bleibt der vorherige Zustand erhalten. Inkonsistente Zustände können dementsprechend nicht entstehen.

Die Daten werden über eine gesicherte Kommunikation zur Datenbank übertragen und gespeichert. Weil der Authentication Server stateless arbeitet, kann auch der Ausfall eines Authentication Server einfach durch einen zweiten Authentication Server behoben werden.

Page 30: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 30 Januar 2007

Wenn ein Authentication Server nicht mehr antwortet, wendet sich der Client an den nächsten Authentication Server. Dies geschieht nicht automatisch, sondern der Benutzer führt eine Neuanmeldung durch. Am Client kann hierzu eine Reihenfolge für die gewünschten Authentication Server konfiguriert werden. Bei der Neuanmeldung werden die Authentication Server nacheinander auf Verfügbarkeit geprüft. Das gleiche gilt für DocuWare-Server, die sich ebenfalls beim Authentication Server anmelden müssen, um ein Ticket für den Betrieb zu erhalten.

8.2 Authentication Server Datenbank Um maximale Sicherheit zu erreichen, nutzt der Authentication Server die Datenbank in folgender Weise:

Der Authentication Server arbeitet über einen eigenen Datenbank-Account. Die Datenbank-Verbindung ist gesichert. Das jeweilige Verfahren ist abhängig von der

eingesetzten Datenbank. Passwörter werden als „salted Hash-Value“ gespeichert und sind damit weder lesbar,

noch erratbar.

Auch der System-Administrator ist damit nicht in der Lage, die Authentication Server Tabellen in der Datenbank manuell zu ändern und dadurch (versehentlich oder vorsätzlich) die Integrität der Daten zu gefährden. Die wesentlichen Transaktionen werden durch den Authentication Server verfolgt und in der Datenbank protokolliert.

Die den Benutzern zugeordneten Rechte sind ebenfalls in der Datenbank gespeichert, und zwar die sich aus Rollen, Profilen und Gruppen ergebenden Einzelrechte. Zur Anpassung der Bedienoberfläche hält der Client temporär lokale Kopien (lokaler Cache) der Rechte vor.

Durch die Speicherung in der Datenbank führt der Ausfall von Programmkomponenten nicht zu Zugriffsproblemen aufgrund fehlender Rechte, solange redundante Programmkomponenten die Aufgaben übernehmen können.

Der Client benötigt keinerlei Zugriff auf die Authentication Server Datenbank, sondern lediglich auf die Adresse des zuständigen Authentication Server (zuzüglich Backup Authentication Server). Diese Information findet sich in einer lokalen XML-Datei.

8.3 Backup Wie allgemein üblich sollten auch für die Daten und Dokumente im DocuWare-System Sicherungsläufe etabliert sein. Die Sicherung der Datenbank-Daten sollte bei eigenständigen Datenbank-Servern in die unternehmensinternen Verfahren integriert werden.

Dabei werden alle system-relevanten und organisations-relevanten Eigenschaften in der Datenbank DWSYSTEM gespeichert. Diese Datenbank sollte mindestens einmal im Monat, mindestens jedoch nach umfangreichen Änderungen (z.B. der Synchronisation von vielen Benutzern) gesichert werden.

Die Daten der Archive werden in der DWDATA Datenbank gespeichert. Bei einem normalen Betrieb sollte diese Datenbank einmal in der Woche gesichert werden.

Zusätzlich ist die Sicherung der Archivinhalte selbst, also der eigentlichen Dokumente mit den zugehörigen XML-Dateien erforderlich. Dabei können prinzipiell natürlich ebenfalls klassische Verfahren, zum Beispiel Bandsicherung mit Generationenverfahren, zum Einsatz kommen. Es sind jedoch die teilweise enormen Datenbestände in den Archiven zu berücksichtigen, die vor allem regelmäßige Vollsicherungen unpraktikabel erscheinen lassen. Inkrementelle Sicherungen hingegen sind weitestgehend problemlos, da das laufende Datenvolumen im Allgemeinen gut handhabbar ist. Entsprechend ist mit den Volltext-Index-Dateien umzugehen.

Werden (optische) Wechselmedien eingesetzt, kann die Erzeugung manueller Kopien der Produktionsmedien der einfachste Weg sein. Je nach eingesetztem Speicher-Subsystem3 ist auch die automatische, parallele Erstellung von Sicherungsmedien verfügbar. Einige Subsysteme verfügen über redundante Speicherverfahren oder automatische Spiegelung, die klassische Sicherungsverfahren weitestgehend substituieren können.

3 Details siehe White Paper „Systemarchitektur“

Page 31: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 31 © DocuWare AG

Die DocuWare-Funktionen lassen sich ebenfalls für Sicherungszwecke einsetzen. Archive inklusive zugehöriger Indexdaten können über die Exportmöglichkeiten4 kopiert werden und damit auch als Backup fungieren.

Weiterhin bietet der Aufbau von Master-/Satellitenarchiven ebenfalls eine sehr elegante Möglichkeit, die Sicherungsproblematik ohne manuellen Aufwand zu lösen. Durch die Nutzung der Synchronisation kann für eine automatische Aktualisierung der Backup-Kopie gesorgt werden. Erforderlich sind lediglich ausreichende Speicher- und Übertragungskapazitäten der informationstechnischen Infrastruktur.

So kann beispielsweise ein Satellitenarchiv rein zu Sicherungszwecken an einem anderen verbundenen Standort definiert werden, welches – beispielsweise über Nacht – automatisch mit dem Masterarchiv synchronisiert wird.

8.4 Wiederherstellung (Recovery) Der Zugriff auf die abgelegten Dokumente erfolgt immer über die Indexdaten der Datenbank. Ohne diese Informationen ist ein Wiederfinden nahezu unmöglich. Der Verlust dieser Informationen muss daher unter allen Umständen vermieden werden.

Das Backup der Datenbank und der Dokumentablage (Dokumente und XML-Header-Dateien) wurde bereits beschrieben. Über diese Backup-Kopien sollten sich System- und Archivzustände zum Zeitpunkt des letzten Backups wiederherstellen lassen.

Das hier beschriebene „Recovery“ kommt daher nur für den Notfall in Betracht, wenn die Backup-Kopien der Datenbank nicht verfügbar sind oder aufgrund von technischen Problemen nicht genutzt werden können. Bei großen Archiven kann das Recovery erhebliche Zeiten in Anspruch nehmen.

Für die Wiederherstellung der Indexdaten macht sich DocuWare das Prinzip der doppelten Datenhaltung zunutze. Nach diesem Prinzip werden die Indexdaten, die für jedes Dokument in der Datenbank enthalten sind, zusätzlich in der XML-Header-Datei mitgeschrieben.

Für die Wiederherstellung einer defekten Datenbank benötigt DocuWare folgende Informationen: die Datenbankfelder, d.h. die Struktur der Datenbank die Ablagepfade der Dokument-Dateien die Indexinformationen der abgelegten Dokumente

Auf Grund der benötigten Informationen ergeben sich folgende Vorüberlegungen: Gibt es eine fehlerfreie Sicherungskopie der Datenbank? Sind alle Dokument-Dateien, die für die Wiederherstellung benötigt werden, verfügbar? Wurden alle Indexeinträge im Header mitgeschrieben?

Da die Indexeinträge in den Header-Dateien enthalten sind, müssen die benötigten Dokumentablagen während der Wiederherstellung verfügbar sein.

Die besondere Herausforderung liegt in den Fällen, bei denen wegen der Revisionssicherheit Dokumente und XML-Dateien sehr frühzeitig auf nicht-veränderbare Speichermedien (z.B. WORM) gespeichert wurden. In diesem Fall lassen sich die Indexdaten möglicherweise nicht wieder komplett herstellen, da Änderungen, die nach der Speicherung erfolgten, nicht mehr verfügbar sind, da sie im Header nicht aktualisiert werden konnten (Header war schreibgeschützt).

Abschließend soll deshalb noch einmal auf die Bedeutung konventioneller Sicherungen und der Zielsetzung des Recovery als reine Notlösung hingewiesen werden.

4 Siehe auch „Vordefinierte Prozesse“ im White Paper „Systemarchitektur“

Page 32: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 32 Januar 2007

9 Protokollierung DocuWare verfügt über eine sehr flexible, leistungsfähige und leicht anpassbare Protokollierung aller relevanten Ereignisse. Damit werden sowohl die Ursachenforschung bei Problemen als auch die Systemüberwachung optimal unterstützt und es wird gegebenenfalls die Basis für die Abrechnung von Leistungen geschaffen.

9.1 Protokollarten Die einzelnen DocuWare-Servermodule sind verantwortlich für die Protokollierung ihrer jeweiligen Aktivitäten. Je nach Vorgaben und Servermodul können durch die entsprechenden Administratoren die Protokollfunktionen gezielt aktiviert und deaktiviert werden.

Protokollierungsfunktionen unterliegen der DocuWare-Rechteverwaltung. Analog zu den Administratorrollen werden die folgenden Protokolle differenziert und sind von den entsprechenden Administratoren zu konfigurieren:

Systemprotokoll Organisationsprotokoll Archivprotokoll

Zusätzlich stehen spezielle Protokollierungen für die vordefinierten Workflows zur Verfügung, um diese Automatismen elegant überwachen zu können.

Die Protokollierung ist sehr flexibel an die jeweiligen Bedürfnisse des Unternehmens anpassbar. Bei der Konfiguration hilft ein Assistent. Die Definition eines Protokolls läuft generell nach dem folgenden Schema ab:

1. Definition der interessierenden Ereignisse und Zielformate

2. Definition der zu protokollierenden Objekte

3. Spezifikation der zu protokollierenden Informationen

4. Definition eventueller Filter (z.B. werden nur Ereignisse protokolliert, die von einem bestimmten Benutzer ausgelöst wurden)

Es wird zunächst bestimmt, welche Art der Ereignisse (Protokollierungsebene) wo aufgezeichnet werden soll, danach sind die Protokollinhalte mit den relevanten Objekten und den zu protokollierenden Informationen zu bestimmen.

9.2 Protokollierungsebenen Für die Protokollierung kann zwischen verschiedenen Zielformaten (Datenbank, XML-Datei, formatierte Datei) und verschiedenen Ereignissen (Information, Warnung, Fehler, Kritischer Fehler) gewählt werden. Eine tiefere Ebene inkludiert die Ereignisse einer höheren Ebene. Entsprechend werden bei der Aktivierung der Ebene „Information“ sämtliche Ereignisse protokolliert.

Fehler der Ebenen “Fehler“ und „Kritische Fehler“ können automatisch dem Windows-Protokoll zugefügt werden. Weiterhin ist in diesen Fällen die automatische Aussendung einer E-Mail möglich.

Die genannten Ereignisse haben folgende Bedeutungen: Kritische Fehler:

Ein unerwarteter Fehler, für den keine Behandlungsroutine existiert. Fehler:

Fehler, für die Behandlungsroutinen vorhanden sind, beispielsweise auf ein bestimmtes Dokument kann nicht zugegriffen werden.

Warnung: Ein Auftrag konnte nicht ausgeführt werden, der weitere Programmfluss ist aber nicht behindert, beispielsweise fehlende Rechte für das Schreiben von Indexdaten.

Information: Zusätzliche Information über aufgetretene Ereignisse, die vor allem für Administratoren interessant ist.

Page 33: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 33 © DocuWare AG

Jedes Ereignis, dass zu einer Abweichung von dem vorgesehenen Programmablauf führt, kann einen Eintrag in die Protokollierung bedingen. Protokolle, die sämtliche Ereignisse zur Laufzeit erfassen, können daher sehr umfangreich werden und das System belasten. Es empfiehlt sich, im normalen Betrieb lediglich Fehler protokollieren zu lassen (siehe auch vordefinierte Protokollierung) und die weitergehenden Informationen lediglich während der Fehlersuche einzuschalten.

Für Audits kann ein umfangreiches Logging auf Archivebene eingeschaltet werden, um beispielsweise die Änderung von Indexdaten innerhalb der Protokollierung nachweisen zu können.

9.3 Protokollinhalte Relevante Ereignisse für die Protokollierung sind einerseits Änderungen der Konfiguration durch die Administratoren und andererseits Ereignisse, die sich zur Laufzeit der Anwendung ergeben.

Generell sind bei der Administration die Erstellung, Änderung und Löschung von den definierten Objekten protokollierbare Ereignisse. Die folgende Tabelle listet die Objekte, für die die Protokollierung während der Administration erfolgt.

Systemebene Organisationsebene Archivebene

o Authentication Server o Content Server o Workflow Server o Verbindungen o Speicherorte o Externes

Benutzerverzeichnis o Zeitstempeldienst

o Lizenzen o Clients o Private und öffentliche Stempel o Anzeige- und

Bearbeitungsprogramme o Externe Auswahllisten o Validierungen o Briefkörbe o Verschiedene Einstellungen o Benutzersynchronsation o Benutzerverwaltung o Signaturtypen o Workflows:

o Archivsynchronisation o Export o Migration o DocuWare-4-Archiv

konvertieren o Index wiederherstellen o Volltextdienst o AUTOINDEX o DocuWare REQUEST o Löschen o SAP-Barcode-Transfer

o Allgemein o Datenbank o Dokumente o Platten o Archivprofile o Suchmasken o Ablagemasken o Ergebnislisten o Link

Tabelle 1: Objekttypen für Protokollierung bei Administration

Der Protokolleintrag umfasst: Name der Einstellung Objekttyp GUID Benutzer, der die Änderung vornahm, mit Name und Organisation

Über eine Filterfunktion lassen sich die zu protokollierenden Ereignisse weiter einschränken. Auf Systemebene kann damit eine Filterung von Organisationen und auf Organisationsebene eine Filterung von Archiven sowie Benutzern erfolgen.

Page 34: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 34 Januar 2007

Systemebene Organisationsebene Archivebene

Ereignisse

Öffnen und Schließen Öffnen und Schließen Öffnen, Ändern und Schließen

Objekte o Authentication Servero Content Server o Datenbankverbindungo Speicherort o Externes

Benutzerverzeichnis o Zeitstempeldienst

o Lizenzen o Benutzersynchronisation o Zusätzliche Organisationeno Archivsynchronisation o Export o Migration o DocuWare-4-Archiv

konvertieren o Index wiederherstellen o Volltextdienst o AUTOINDEX o DocuWare REQUEST o Löschen o SAP-Barcode-Transfer

o Dokument o Suchmasken

Objektfilter o Organisation o Servername

o Archiv o Benutzer

o Benutzer

Protokollierte Information

o Name o Objekttyp o GUID o Benutzer mit Namen

und Organisation

o Name o Objekttyp o GUID o Benutzer mit Namen und

Organisation

o Name o DocID o Index-

Informationen o Archivname o GUID o Benutzer mit

Namen und Organisation

Tabelle 2: Protokollierung zur Laufzeit

Auf jeder Ebene (System, Organisation, Archiv) können gleichzeitig mehrere Protokollierungen parallel erfolgen.

9.4 Speicherort und -umfang Der System-Administrator kann Vorgaben für die zu nutzenden Datensenken, das heißt Datenbank-Verbindungen oder Dateiverzeichnisse machen. Es ist die Maximalgröße einer Protokolldatei einstellbar. Folgende Vorgaben für das Verfahren bei Erreichen des Maximums lassen sich einstellen: Überschreiben älterer Daten oder Anlage einer neuen Protokolldatei.

Die entsprechenden Grenzwerte und die Bestimmung der Größe der zu überschreibenden Bereiche sind frei wählbar. Bei der Wahl von Datenbanken beziehungsweise XML-Dateien als Speicherort erfolgt die Vorgabe in Form von Datensätzen, ansonsten in Form von MegaByte.

Bei der Erstellung neuer Dateien nach Erreichen des Maximums kann wiederum eine maximale Anzahl vorgegeben werden.

9.5 Berechtigungen Die Möglichkeit, die Protokollierung zu spezifizieren, unterliegt, wie alle anderen Funktionen, dem Berechtigungskonzept. Das Berechtigungskonzept sieht ein eigenes Recht für das Erstellen und Löschen von Protokollierungsspezifikationen (“Logging-Agenten”) vor.

Page 35: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 35 © DocuWare AG

Der Administrator, der einen Speicherort für die Protokollierungen definiert, kann festlegen, ob dieser Speicherort auch von anderen Administratoren verwendet werden darf. Ist dies nicht der Fall, kann nur er Protokollspezifizierungen definieren, die diesen Speicherort verwenden.

Einsicht in die jeweilige Protokollierung kann nur ein Benutzer vornehmen, der für diese Ebene über die entsprechenden Administrations-Rechte verfügt. Ein Organisations-Administrator hat also nicht unbedingt Einblick in die Protokollierung eines Archivs, wenn er in dem Archiv nicht auch über Administrationsrechte verfügt.

9.6 Vordefinierte Protokollierung Auch ohne benutzerdefinierte Protokolle sollten bestimmte Ereignisse im System aufgezeichnet werden. Bei der Installation erfolgt daher eine automatische Spezifikation je eines Protokolls für die System-, Organisations-, Archivebene.

Bei der Installation einer neuen Organisation oder eines neuen Archivs werden diese Spezifikationen standardmäßig mit installiert. Es handelt sich dabei um Datenbanktabellen mit einer Gesamtgröße von maximal 10.000 Einträgen.

Die vordefinierte Protokollierung auf der System- und Organisationsebene protokolliert alle Fehler (kritisch und nicht-kritisch). Bei einem Archiv werden die Laufzeitereignisse auf Warnung-Ebene und die administrativen Ereignisse auf Fehlerebene protokolliert.

Eigenschaft Standard-Einstellung

Allgemeine Informationen

Name DWArchiv<Archivname>

Status gestartet

Logging-Level Fehler

Ziel DWLOG_<Archivname>

Zusätzliche Ausgabegeräte keine

Administrative Ansicht

Objekte Ereignisse

Alle Einstellungen Erstellen, Verändern, Löschen

Ansicht zur Laufzeit

Objekte Ereignisse

Ausnahmen

Dokument Erstellen, Löschen

Mögliche Informationen

Dokumentname

DocID

Index-Informationen und –Ver-änderungen

Archivname, GUID

Benutzername

Benutzerorganisation

Filter keine

Tabelle 3: Beispiel: Standardprotokollierung für ein Archiv

Page 36: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 36 Januar 2007

Eigenschaft Standard-Einstellung

Allgemeine Informationen

Name DWOrganisation<Organisationsname>

Status gestartet

Logging-Level Fehler

Ziel DWLOG_<Organisationsname>

Zusätzliche Ausgabegeräte keine

Administrative Ansicht

Objekte Ereignisse

Alle Einstellungen Erstellen, Verändern, Löschen

Ansicht zur Laufzeit

Objekte

Ausnahmen

Mögliche Informationen

Einstellungsname

Typ

GUID

Benutzername

Benutzerorganisation

Filter keine

Tabelle 4: Beispiel: Standardprotokollierung für eine Organisation

Eigenschaft Standard-Einstellung

Allgemeine Informationen

Name DWSystem

Status gestartet

Logging-Level Fehler

Ziel DWLOG_SYSTEM

Zusätzliche Ausgabegeräte keine

Administrative Ansicht

Objekte Ereignisse

Alle Einstellungen Erstellen, Verändern, Löschen

Ansicht zur Laufzeit

Objekte Ereignisse

Ausnahmen

Authentication Server Session Öffnen, Schließen

Content Server Session Öffnen, Schließen

Datenbankverbindung Öffnen

Workflow Server Öffnen, Schließen

Page 37: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 37 © DocuWare AG

Mögliche Informationen

Einstellungsname

Typ

GUID

Kurzer Benutzername

Benutzerorganisation

Filter keine

Tabelle 5: Beispiel: Standardprotokollierung für das System

Für die Definition der Protokollierungen werden Assistenten bereitgestellt, die den Benutzer durch die einzelnen Schritte führen.

Weiterhin stehen Standardprotokollierungen für jede Art von Workflow zur Verfügung, die im Einzelnen die Überwachung der Laufzeit dieser automatischen Abläufe ermöglichen.

9.7 Anzeige der Protokollierung Die Anzeige der Protokollierung erfolgt über eine Tabelle, die sowohl die Protokolleinträge als auch die zusätzlichen definierten Informationen enthält.

Abbildung 8 Anzeige der Protokollierung

Page 38: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 38 Januar 2007

10 Glossar

Ablagemaske Bevor ein Dokument in ein Archiv abgelegt werden kann, muss es so verschlagwortet werden, dass es bei einer Recherche mühelos wiedergefunden wird. Für die Ablage und Verschlagwortung von Dokumenten dient die Ablagemaske. Ablagemasken können in DocuWare nach Bedarf pro Archiv definiert und Benutzern und Profilen zugewiesen werden.

Administrative Rechte

Administrative Rechte umfassen die Rechte zur Änderung von Archivdefinitionen oder Definitionen innerhalb einer Organisation.

Archiv Ein „Archiv“ ist in DocuWare eine logische Einheit, die Dokumente entgegennimmt, speichert, sucht und wieder bereitstellt. Ein Archiv umfasst immer die Dateiablage, in der die Dokumente physikalisch gespeichert sind sowie die zugehörigen Datenbanktabellen, die Indexdaten und andere beschreibende oder ergänzende Elemente zu dem Dokument enthalten. Optional kann ein Archiv auch einen Volltext-Index enthalten, der die Dokumente zusätzlich über die Volltext-Information zugänglich macht. Für die Dateiablage können unterschiedliche Ablagemedien Verwendung finden. Dazu werden den Archiven „logische Platten“ zugeordnet, die nach vorgegebenen Regeln auf physikalische Ablagemedien abgebildet werden.Ein Archiv ist eine Sammlung verschlagworteter Dokumente. Für Archive können feingranulare Zugriffs- und administrative Rechte vergeben werden.

Archiv-Administrator

Nutzer, dem ein Administrationsrecht für ein Archiv gegeben wurde. Er kann dieses Recht nicht weitergeben.

Archiv-Besitzer Nutzer, der ein Archiv anlegt und administrieren darf. Dieser verwaltet die Archivstruktur und vergibt die Zugriffsrechte auf das Archiv. Das Recht zur Administration kann weitergegeben werden, d.h. der Besitzer kann die Administrationsaufgabe delegieren.

Archivprofil Ein Archivprofil umfasst die Zugriffsrechte auf ein Archiv. Dazu gehören unter anderem die Zugriffsrechte auf Indexfelder oder Dokumente, die auch von bestimmten Indexeinträgen abhängig sein können (feldabhängige Rechte). Ein Archivprofil kann auch administrative Rechte innerhalb eines Archivs umfassen. Ein Archivprofil wird innerhalb eines Archivs definiert.

Auswahlliste Auf Ablage- und Suchmasken stellt DocuWare den Benutzern Auswahllisten zur Verfügung, mit denen Eingaben für die Indexfelder ausgewählt und schnell vorgenommen werden können. Auswahllisten werden auf Organisationsebene definiert und können von allen Archiven der Organisationen genutzt werden.

Authentication Server

Die Hauptfunktionen von Authentication Server sind die Lizenzprüfung und die Rechteverwaltung der Benutzer sowie der Programme. Jedes DocuWare-Client- Programm stellt beim Start automatisch eine Verbindung zu Authentication Server her. Es wird geprüft, ob für das jeweilige Programm sowie für den jeweiligen Benutzer eine Lizenz vorhanden und nutzbar ist. Authentication Server hat jederzeit den Überblick, welche Programme und Benutzer im DocuWare-System arbeiten. Zudem handhabt er die Zuteilung von Ressourcen, beispielsweise bestimmt er, mit welchem Content Server (falls mehrere vorhanden) welcher Benutzer arbeiten kann.

Benutzer Benutzer haben in den Unternehmensorganisationen verschiedene Rollen. Entsprechende Rollen lassen sich in DocuWare abbilden, um die Installation und Administration zu vereinfachen. Dazu werden Funktionen und Zugriffsrechte in Profilen zusammengefasst, die den Rollen zugewiesen werden. In diesem White Paper ist ein Benutzer immer ein DocuWare Benutzer. Benutzer können zu Gruppen zusammengefasst werden. Benutzer erhalten Rechte sowohl über Einzelrechte, Profile oder Rollen.

COLD Einziges proprietäres Dateiformat in DocuWare ist das COLD-Format. Es ist ein ANSI-Format und nimmt die Text-Spooldaten beim Einlesen mit DocuWare COLD/READ auf.

Page 39: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 39 © DocuWare AG

Content Server Content Server ist für den Zugriff der DocuWare-Clients auf DocuWare-Archive zuständig. Dem Client ist der direkte Zugriff auf die im Verzeichnis abgelegten Archiv-Dokumente verwehrt. Alle Archivzugriffe erfolgen ausschließlich über Content Server. Informationen über Lizenzen und Benutzerrechte holt sich der Content Server über Authentication Server.

DocuWare-Client DocuWare-Client bezeichnet den „Rich-Client“, der auf dem Benutzerarbeitsplatz zusammen mit dem DocuWare-Server eine funktionsfähige Installation ergibt. Grundsätzlich ist die Benutzung auch über einen Web-Client möglich. Dazu wird auf Benutzerseite lediglich ein HTML-Browser benötigt. In diesem Fall übernimmt eine zusätzliche zentrale Komponente, der Internet Server, die Clientaufgaben und die Umsetzung für den Browser

DocuWare-Installtion

Siehe DocuWare-System

DocuWare-Server

ist ein Überbegriff und umfasst alle Server-Module wie Authentication Server, Content Server, Workflow Server. Der DocuWare-Server besteht somit aus verschiedenen einzelnen Server-Modulen.

DocuWare-System

Das DocuWare-System umfasst eine funktionierende DocuWare-Installation mit allen dafür erforderlichen sowie eventuell optionalen Komponenten. Ein DocuWare-System kennzeichnet sich durch gemeinsame Hardware und Systemeinstellungen für eine oder mehrere „Organisationen“. Teilweise wird anstatt vom DocuWare-System auch einfach von DocuWare gesprochen.

Dokument Ein „Dokument“ ist ein Überbegriff für die im Archiv abgelegten Objekte, die aus Benutzersicht eine logische Einheit - eben ein Dokument - bilden. Ein Dokument kann aus einer beliebigen Anzahl von Dateien bestehen. Häufig wird es sich um gescannte Informationen im TIFF oder Multi-TIF-Format handeln. Dateien aus Output-Management-Systemen, Office- oder Grafik-applikationen oder gar Binärdateien werden aber gleichartig behandelt. Eine Datei kann eine oder mehrere Seite(n) repräsentieren. Eine Datei kann aber auch Stempel, Signaturen, Anmerkungen o.ä. ergänzende Informationen zum Dokument beinhalten. Dokumente können weiterhin aus Dateien mit unterschiedlich formatierten Inhalten bestehen. So können eine Office-Datei, zusammen mit einer E-Mail-Datei und mehreren TIFF-Dateien zusammen ein Dokument darstellen. Technisch erhält daher jedes Dokument in der Dateiablage ein eigenes Verzeichnis für die beteiligten Dateien, Anmerkungen etc.. Eindeutig identifiziert wird das Dokument über die DOCID. Diese Technik bietet die Möglichkeit, auch Teildokumente, z.B. Seiten, mit getrennten Indexinformationen zu versehen. Weiterhin können aus einem Dokument mehrere Dokumente erzeugt werden und mehrere Dokumente können auch zu einem Dokument zusammengefasst werden („Klammerfunktion“).

Einfache Elektronische Signatur

Die einfache, simple Signatur dient der Abzeichnung, Genehmigung oder Freigabe eines Dokuments in DocuWare und wird für die von DocuWare unterstützten Workflow-Prozesse in Unternehmen genutzt. Nach dem Anbringen der Elektronischen Signatur sind Aktionen wie Anmerkungen, weitere Stempel (außer weitere Elektronische Stempel), Verschmelzen, Geraderücken und Konvertieren nicht mehr möglich. Wenn eine Elektronische Signatur angebracht wird, erzeugt DocuWare automatisch eine Checksumme. Die Elektronische Signatur sichert die Integrität eines Dokuments innerhalb des DocuWare Systems.

Page 40: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 40 Januar 2007

Ererbtes Recht/Explizites Recht

DocuWare unterscheidet in Bezug auf den Benutzer zwischen ererbten Rechten und expliziten Rechten. Beispiel: Ein Benutzer bekommt das Profil "Fortgeschrittener Mitarbeiter" zugewiesen. In diesem Profil sind sämtliche Funktionen im DocuWare-Hauptfenster verfügbar. Alle diese funktionalen Rechte hat der Benutzer über die Zuweisung des Profils ererbt. Konsequenz: Wird dem Benutzer das Profil wieder entzogen, verliert er sämtliche ererbten Rechte: Er kann die Funktionen des Hauptfensters nicht mehr nutzen. Die Funktionen des DocuWare-Hauptfensters können dem Benutzer zusätzlich zu der Zuweisung über ein Profil explizit zugewiesen werden. Der Benutzer kann dann die Funktionen unabhängig vom Profil "Fortgeschrittener Mitarbeiter" nutzen - auch dann, wenn ihm das Profil entzogen wird.

Export Beim Export wird eine Kopie eines Archivs oder einzelner Dokumente erzeugt. Sie exportieren ein Archiv beispielsweise, um eine Sicherungskopie zu erstellen oder um ein Archiv offline auf CD/DVD zu nutzen. Der Export eines DocuWare-Archivs umfasst sowohl die Dokumente als auch die Datenbank. Ziel des Exports können Archive innerhalb des DocuWare-Systems oder ein externes Speichermedium sein. Innerhalb des DocuWare-Systems kann in ein neues oder in ein bestehendes Archiv exportiert werden.

Funktionsprofil Ein Funktionsprofil umfasst Zugriffsrechte auf Funktionen des DocuWare Clients. Dazu gehören u.a. die Zugriffsrechte auf Menüfunktionen und Stempel. Funktionsprofile werden auf Organisationsebene definiert. Ein Funktionsprofil kann auch administrative Rechte auf Organisationsebene umfassen.

Gruppe Unabhängig von Rollen können Benutzer zu Gruppen zusammengefasst werden, denen dann ebenfalls Rollen zugewiesen werden können. Eine Gruppe ist somit eine Zusammenfassung von Benutzern. Gruppen können ausschließlich über Rollen Rechte zugewiesen werden. Gruppen dienen der einfacheren Administration von mehreren Benutzern.

Header DocuWare verwendet XML für die Dokumentablage in Anlehnung an einen bei der AIIM in Arbeit befindlichen Standard. DocuWare benutzt dieses Format für die Speicherung der Metadaten und Dokumentergänzungen (Anmerkungen, Stempel etc.). Der Content selbst wird aus Performancegründen separat gespeichert (Ausnahme Export). Zusammengefasst werden diese Informationen in der „XML-Header-Datei“. Für jedes in DocuWare abgelegte Dokument existiert eine solche Header-Datei, die mit dem Dokument selbst („Content“) in der Dateiablage abgelegt wird.

Indexdaten Siehe Header

Indexfilter Über Indexfilter schränken Sie in DocuWare den Zugriff auf Dokumente ein. Sie legen für einzelne Indexfelder fest, welche Kriterien sie enthalten müssen, damit Dokumente im Archiv beispielsweise gesucht oder gedruckt werden dürfen. Kriterien für das Filtern von Dokumenten können beispielweise Texteinträge wie Namen, Daten oder numerische Einträge sein.

JPEG Joint Photographic Experts Group. Spezifikation zur verlustbehafteten Kompression von Farbbildern. "Verlustbehaftet" bedeutet, dass Bildinformationen beim Speichern irreversibel verloren gehen. JPEG wird eingesetzt, um Bilder mit großem Farbraum (großer Bittiefe) zu komprimieren. Empfohlen wird für diesen Fall PNG.

Logging-Agent Ein Logging-Agent ist ein Job, der bestimmte Protokollierungsoptionen umfasst und entsprechende Informationen sammelt. Ein Logging-Agent kann Ereignisse unterschiedlicher Organisationen protokollieren oder in unterschiedliche Logging-Ziele schreiben. Ein Logging-Ziel ist immer eine Datei oder ein Datenbankeintrag.

Logging-Ziel Eine Datei oder eine Datenbankverbindung in die die Logging-Einträge geschrieben werden.

Massensignatur DocuWare erlaubt das automatische Anbringen von Signaturen auf beispielsweise gescannte Dokumente im Briefkorb. Zwischen die Übernahme der Dokumente in DocuWare über den Scanvorgang und die Ablage im Archiv wird der Signiervorgang geschaltet.

Page 41: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 41 © DocuWare AG

Masterarchiv Ein Masterarchiv ist das Archiv, von dem aus eine Synchronisation von Archiven in DocuWare ihren Ausgang nimmt. Es ist quasi das Basisarchiv. Mit dem Masterarchiv können beliebig viele Satellitenarchive synchronisiert, das heißt, auf denselben Stand gebracht werden.

Menüfunktion Eine Menüfunktion umfasst eine Funktion innerhalb des DocuWare Clients. Dazu gehören u.a. die Funktionen Scannen und Dokumente anzeigen oder bearbeiten.

Metadaten Siehe Header

Migration Migration ist der Transfer von Dokumenten innerhalb eines Archivs auf eine andere Platte mit einer anderen Plattennummer. In der Regel wird ein Migrations-Workflow gestartet, um die Plattengrößen innerhalb eines Archivs zu reduzieren oder um Platten zusammenzulegen. So kann man ein Archiv auf Platten in der Größe einer CD/DVD speichern, um den Transfer auf ein externes Speichermedium vorzubereiten.

Organisation Eine Organisation umfasst im wesentlichen das Management der Benutzer. Innerhalb der Organisation werden keine Hardware-Administrationen durchgeführt. Die gesamte Systemverwaltung erfolgt auf Systemebene.

Organisations-Administrator

Der Organisations-Administrator verwaltet wie schon sein Name sagt eine Organisation. Ein DocuWare System kann eine oder auch mehrere Organisationen umfassen. Der Organisations-Administrator verwaltet insbesondere die Rechte und Benutzer einer Organisation. Er hat keine Zugriffsrechte auf Archive und ihre Verwaltung.

PNG Abkürzung für "portable network graphic format" (sprich: ping). Das vom World Wide Web Consortium (W3C) entwickelte und als Standard verabschiedete Format ist lizenzfrei und soll GIF- und JPEG-Bilder ablösen - komprimierend und ohne gravierende Qualitätseinbußen.

Profile Profile sind die Zusammenfassung von Einzelrechten. Profile werden in Archivprofile und Funktionsprofile unterschieden. Profile können entweder administrative Rechte oder Zugriffsrechte z.B. auf ein Archiv enthalten.

Qualifizierte Elektronische Signatur

Eine so genannte token based Signatur ist eine Fortgeschrittene oder Qualifizierte Elektronische Signatur. Sie benötigt immer ein Zertifikat. Über das Zertifikat lässt sich - auch außerhalb des DocuWare-Systems - der Unterzeichnende eines Dokuments jederzeit zweifelsfrei identifizieren. In der Zertifikat-Verwaltung legen Sie sich unterschiedliche Typen von Elektronischen Signaturen an. Ein Typ ist quasi ein Filter auf ein verfügbares Zertifikat.

Rechte Rechte erlauben die Ausführung von bestimmten Funktionalitäten innerhalb des DocuWare Systems. Einzelrechte können in Archiven und auf Organisationsebene vergeben werden.

Rolle Benutzer haben in den Unternehmensorganisationen verschiedene Rollen, die sich aus Ihrer Stellung in der Hierarchie (z.B. Genehmigung von Urlaubsanträgen) und aus Ihrer Aufgabenbeschreibung (z.B. Einkäufer) ergeben. Entsprechende Rollen lassen sich in DocuWare abbilden, um die Installation und Administration zu vereinfachen. Dazu werden Funktionen und Zugriffsrechte in Profilen zusammengefasst, die den Rollen zugewiesen werden. Das Rollenkonzept wird auch vom DocuWare-System selbst benutzt, in dem bestimmte Rollen mit entsprechenden Profilen für administrative Aufgaben bereits vordefiniert sind. Eine Rolle ist eine Zusammenfassung von Profilen. Rollen können keine Einzelrechte beinhalten. Vordefinierte Rollen erlauben die einfache Vergabe von administrativen Rechten.

Satellitenarchiv Das Satellitenarchiv ist quasi das Zielarchiv bei der Synchronisation von Archiven in DocuWare. Ausgangspunkt der Synchronisation ist immer das Masterarchiv. DasSatellitenarchiv enthält nach der Synchronisation die gleichen Dokumente undDatenbankeinträge wie das Masterarchiv.

Page 42: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 42 Januar 2007

Suchmaske Die Recherche nach abgelegten Dokumenten in einem Archiv wird mit Hilfe von Suchmasken durchgeführt. Auf einer Suchmaske befinden sich Eingabefelder, diejeweils mit dem Namen der Indexfelder betitelt sind. Hier werden die Suchbegriffeeingegeben, beispielsweise soll nach Firma Müllermann in dem Indexfeld mit dem Namen Firma gesucht werden. Suchmasken können in DocuWare nach Bedarf proArchiv definiert und Benutzern und Archivprofilen zugewiesen werden.

Synchronisation DocuWare erlaubt die Synchronisation zweier Archive. Die Synchronisation umfasst Dokumente und Datenbank. Ausgangspunkt einer Synchronisation ist immer einQuellarchiv, das Masterarchiv. Ziel ist immer ein so genanntes Satellitenarchiv. Daskann beispielsweise ein DocuWare-Archiv auf einem Laptop sein, der ohne Netzzugang mit den aktuellen Dokumenten aus einem Masterarchiv arbeiten könnenmuss. Die Synchronisation kann in beide Richtungen, vom Masterarchiv zumSatellitenarchiv als auch umgekehrt stattfinden.

System Siehe DocuWare-System

System-Administrator

Der System-Administrator verwaltet das System insbesondere aus Hardwaresicht. Dazu gehören u.a. die Verwaltung der Datenbankverbindungen, die Verwaltung der Kommunikationswege und die Ablagepfade der Dokumente. Der System-Administrator hat keine Zugriffsrechte auf Organisationsinformationen insbesondere kann er nicht in die Benutzerverwaltung eingreifen.

TIFF Tagged Image File Format: Wichtigstes Format in DocuWare ist Schwarz-Weiß (1-bit) TIFF, nach CCITT Group 4 komprimiert. Dieses Format hat sich für die elektronische Archivierung gescannter Dokumente als Standard durchgesetzt. Zur Archivierung erzeugt DocuWare für jede Seite eines Dokumentes eine Datei.

Ticket Sobald sich ein Benutzer in DocuWare einloggt und mit dem Passwort seine Identität bestätigt hat, erhält er von Authentication Server einen Ausweis, ein so genanntes Ticket, mit dem er seine Authentizität beweisen kann. Mit diesem Ausweis erhält er Zugang zu DocuWare Servern und ihren Diensten. Aus Sicherheitsgründen hat ein Ticket immer nur eine begrenzte Lebensdauer.

Vordefinierte Rollen

Vordefinierte Rollen werden vom DocuWare System mitgeliefert und garantieren die Arbeitsfähigkeit des Systems bei einer ersten Installation. Vordefinierte Rollen sind der System-Administrator, der Organisations-Administrator und der Archiv-Besitzer.

Workflow Ein Workflow ist eine vordefinierte Folge von Arbeitsschritten, die bei dem Eintreffen eines vordefinierten Ereignisses automatisch innerhalb von DocuWare ausgeführt wird.

Workflow Server Der Workflow Server ist das Modul, das die Workflows zur Laufzeit ausführt.

XML Siehe Header

Zeitstempel Zeitstempeldienste sind Dienstleister, die Zeitstempel anbieten. Bei einem externen Dienst läuft die Kommunikation via Internet. Alternativ können interne Dienste genutzt werden, für die spezielle Hard- und Software vorhanden sein muss. Der Zugriff auf den Dienst erfolgt dann über das interne Netzwerk.

Zertifikat Um in der elektronischen Welt einen Unterzeichner identifizieren zu können, braucht man einen privaten Schlüssel, mit dem der Unterzeichner die Signatur erzeugt, und einen öffentlichen Schlüssel, mit dem sich nachweisen lässt, wer die Signatur, die Unterschrift angebracht hat. Der private Schlüssel muss sicher gespeichert sein und darf nur dem Unterzeichner zugänglich sein. Er wird beispielsweise auf einer Smartcard festgehalten. Der öffentliche Schlüssel muss – wie der Name schon sagt – öffentlich zugänglich sein. Er wird in einem Zertifikat gespeichert. Qualifizierte Zertifikate identifizieren den Inhaber eines Schlüsselpaares eindeutig. Sie enthalten den Namen des Inhabers, seinen öffentlichen Schlüssel, eventuell weitere Information zum Zertifikatsinhaber und Informationen zum Zertifikatsherausgeber. Zertifikate und ihre möglichen Inhalte sind standardisiert, so dass auch Dritte, die über ein anderes Signatursystem verfügen, Zertifikate prüfen können. Es entspricht einem Ausweis, der durch vertrauenswürdige Dritte ausgestellt wird.

Page 43: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 43 © DocuWare AG

Zugriffsrechte Zugriffsrechte umfassen Zugriffe auf Archive oder Menüfunktionen innerhalb des DocuWare Clients.

Page 44: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 44 Januar 2007

11 Anhang

11.1 Vorgehensweise zur Entwicklung von Gruppen und Rollen in einer Organisation

Um die Rechtevergabe in DocuWare vorzubereiten, können zwei Wege beschritten werden. Einmal können die Funktionen analysiert und innerhalb eines Rechtekanons den Benutzern zur Verfügung gestellt werden. Auf der anderen Seite können die Mitarbeiter zu Gruppen zusammengefasst und die einzelnen Funktionen diesen Gruppen über Rollen zur Verfügung gestellt werden.

1. Sichtweise Funktionen

Zunächst wird festgestellt, welche Tätigkeiten und Arbeitsbereiche vorhanden sind und welche Rechte und Funktionen im DocuWare-System notwendig sind, um zur Erfüllung der Aufgaben alles Notwendige zur Verfügung zu stellen. Daraus können unterschiedliche Rollen erwachsen. Die Rollen können dann den einzelnen Benutzern zugewiesen werden. Bei größeren Organisationen empfiehlt es sich, die Mitarbeiter zu Gruppen zusammenzufassen (etwa die Mitarbeiter einer Abteilung) und die erstellte Rolle diesen Gruppen zu zuweisen.

2. Sichtweise Mitarbeiter

Wenn man es gewohnt ist, in der Benutzerverwaltung mit Gruppen zu arbeiten, kann man das auch in DocuWare tun. In diesem Fall werden zunächst Gruppen entsprechend der Tätigkeiten der Mitarbeiter im Unternehmen gebildet. Diese Gruppen werden über die Zuweisung von Rollen mit den notwendigen Rechten ausgestattet. Neue Benutzer mit der entsprechenden Tätigkeit brauchen nur der Gruppe zugewiesen werden, um sie mit den nötigen Rechten auszustatten.

Benutzer

Funktionale Rechte Archivrechte

Funktionale Profile Archivprofile

Gruppen

Rollen

Zuweisung Zusammenfassung

Page 45: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 45 © DocuWare AG

11.2 Definition von Rechten in Archiven Zugehörig zu den Archiven werden die jeweiligen Such- und Ablagemasken, die Ergebnisanzeigen und die Info-Dialoge definiert.

Bei den Such- und Ablagemasken kann jeweils definiert werden, welche Indexfelder für den Benutzer sichtbar sein sollen. Des Weiteren lassen sich Einträge für die Indexfelder vordefinieren. Diese Einträge können für den Benutzer veränderbar sein, so dass es sich um eine Eingabeerleichterung handelt, oder sie können fest sein, so dass der Benutzer in dem entsprechenden Feld keinen anderen Eintrag vornehmen kann. Auch Felder, die nicht sichtbar sind, können feste vordefinierte Einträge enthalten.

Beispiel: Sollen externe Mitarbeiter nur auf freigegebene Dokumente zugreifen dürfen, so kann ihnen eine Suchmaske zugewiesen werden, in der für das Feld Dokumentenstatus der Indexbegriff Freigegeben vorgegeben und unveränderbar ist. Es ist auch möglich, dass dieses Feld mit dem festen Eintrag für die Suche verwendet wird, auf der Suchmaske aber nicht erscheint. Für den externen Mitarbeiter ist es somit nicht offensichtlich, dass er eine eingeschränkte Suche durchführt.

Für eine Ergebnisliste lässt sich festlegen, welche Spalten angezeigt werden sollen, das heißt, von welchen Indexfeldern die Indexeinträge der Dokumente zu sehen sind. Außerdem können die Funktionen, die über die Ergebnisliste zur Verfügung stehen sollen, definieren werden. Möglich sind zum Beispiel Dokument drucken, Dokument im Bearbeitungsprogramm öffnen, Dokument in Briefkorb kopieren.

Für den Info-Dialog, der über die Ergebnisliste aufgerufen wird und in dem die Indexbegriffe änderbar sind, lässt sich bestimmen, welche Felder angezeigt werden und welche davon veränderbar sind.

Die Handlungsmöglichkeiten eines Benutzers innerhalb eines Archivs ergeben sich aus den ihm zugewiesenen Archivrechten und den ihm zugewiesenen Dialoge als „Handwerkszeug“ für das entsprechende Archiv.

Beispiele für das Zusammenspiel von Dialogen und Archivrechten:

• Hat ein Benutzer für ein Archiv das Suchen-Recht, ist ihm aber keine Suchmaske zugewiesen worden, kann er keine Suche ausführen, da ihm die Suchmaske „als Handwerkszeug“ fehlt.

• Wenn ein Benutzer in einem bestimmten Indexfeld nicht suchen darf, aber eine Suchmaske zugewiesen bekommt, die dieses Feld enthält, kann er darin nichts eintragen und somit über dieses Feld keine Suche ausführen. Das entsprechende Feld ist ausgegraut.

• Zwei verschiedene Benutzer haben eine Ergebnisliste, die über die Symbolleiste die Funktion Export in Dateisystem zur Verfügung stellt. Der eine Benutzer hat das Archivrecht Export und kann somit die Funktion nutzen. Der andere Benutzer hat das Archivrecht Export nicht. Ihm wird in der Ergebnisliste das Symbol für Export in Dateisystem nicht angezeigt.

• Ein Benutzer hat das Schreibrecht in einem Indexfeld, zum Beispiel in dem Feld Status. Wird diesem Benutzer ein Info-Dialog zugewiesen, bei dem das Feld Status nicht angezeigt wird, kann der Benutzer den Eintrag nicht ändern.

Beispiele für das Zusammenspiel von Feldeinstellungen und Archivrechten:

• Bei der Definition eines Archivfeldes wird die Option Nicht leer aktiviert. Das heißt, dass ein Eintrag in diesem Feld vorgenommen werden muss, ansonsten kann ein Dokument nicht abgelegt werden. Hat nun ein Benutzer für dasselbe Archivfeld das Recht Feld darf leer sein, so darf dieser Benutzer Dokumente ablegen, ohne in das entsprechende Feld einen Eintrag vornehmen zu müssen.

• Ein Archivfeld hat die Einstellung Nur aus Auswahlliste, und ein Benutzer hat das Feldrecht Einträge zulassen, die nicht in einer Auswahlliste vorkommen. Dieser Benutzer darf dann Indexbegriffe verwenden, die nicht in einer Auswahlliste enthalten sind.

• Die Einstellung Fester Wert ist für ein Archivfeld in der Ablagemaske vergeben und ein Benutzer hat das Recht, Indexeinträge zu ändern. Der Benutzer kann den fest zugeteilten Feldeintrag in der Ablagemaske und/oder in der Infobox der Ergebnisliste ändern.

Page 46: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 46 Januar 2007

Somit gilt generell die Regel, dass die direkt dem Benutzer zugeordneten Rechte höher priorisiert sind als die generell vergebenen Archivrechte.

Auswahllisten Für Archivfelder können Auswahllisten definiert werden. Der Zugriff auf diese Auswahllisten kann innerhalb der Dialoge (Such- und Ablagemaske, Info-Dialog) eingegrenzt werden. So können einem Feld „Postleitzahl“ die Auswahllisten „PLZ Nord“, „PLZ Süd“, „PLZ Ost“ und „PLZ West“ zugewiesen werden. In dem Dialog für die Mitarbeiter, die den Bereich Süd bearbeiten, wird dann nur die Auswahlliste „PLZ Süd“ zugelassen. So werden falsche oder inkonsistente Dateneingaben verhindert.

11.3 Verwendung von Indexfiltern in Archiven Die Indexfilter dienen dazu, einem Benutzer innerhalb eines Archivs limitierte Rechte zu geben, und zwar abhängig davon, welche Indexeinträge das Dokument hat. Für die Vergabe der Indexfilter auf Archivprofile können Inhalte von Textfeldern, numerischen Feldern und Datumsfeldern verwendet werden.

Beispiel: Ein Mitarbeiter im Marketing darf alle Dokumente eines Archivs lesen, zu Dokumenten der eigenen Abteilung die Indexbegriffe ändern und Dokumente, die er selbst abgelegt hat, bearbeiten. Dazu müssen folgende Rechte vergeben werden:

Profil 1: Allgemeine Archivrechte: Suchen und Lesen und Zugriff auf die Dialoge

Profil 2: Indexfilter 1: Ist im Indexfeld Abteilung der Eintrag Marketing, wird das Recht, Indexbegriffe zu ändern, zugewiesen.

Profil 3: Indexfilter 2: Ist im Indexfeld Abgelegt von der Name des aktuellen Benutzers eingetragen, wird das Recht, Dokumente zu bearbeiten, zugewiesen.

Wird einem Benutzer ein Archivprofil mit Indexfiltern zugewiesen, muss er mindestens ein weiteres Archivprofil ohne Indexfilter erhalten. Ein Profil mit Indexfiltern muss immer mit allgemeineren Profilen, die das entsprechende Handwerkszeug, beispielsweise die Dialoge, zur Verfügung stellen, kombiniert werden.

Administrative Archivrechte, wie das Recht des Archiv-Besitzers, können ebenfalls nicht mit Indexfilter vergeben werden, da bei der Verwaltung eines Archivs keine Indexinformationen eines Dokuments vorliegen.

Die Rechte in den mindestens zwei Archivprofilen müssen fein aufeinander abgestimmt sein. Zu beachten ist, dass die Rechte in DocuWare immer additiv sind.

Für die Vergabe von Zugriffsrechten über Indexfilter bedeutet das: Über ein allgemeines Profil erhält ein Benutzer das Recht, Dokumente abzulegen. Das Suchen-Recht, das er über ein Profil mit Indexfilter erhält, bezieht sich jedoch auf Dokumente mit einem bestimmten Indexeintrag, wie den Namen des aktuellen Benutzers. So kann ein Benutzer zwar Dokumente jederzeit ablegen, aber nur diejenigen Dokumente in der Ergebnisliste anzeigen, die in einem bestimmten Indexfeld seinen Namen enthalten.

Beispiele zur Kombination von Archivprofilen

Ziel: Benutzer Schiller darf alle Dokumente im Archiv suchen und anschauen, aber nur die Indexeinträge der Dokumente ändern, die er selber abgelegt hat.

Lösung: Der Benutzer bekommt ein allgemeines Archivprofil zugewiesen, in dem die allgemeine Archivrechte Suchen und Dokumente anzeigen aktiviert sind. Gleichzeitig hat er über dieses Profil das Recht, die Standardsuchmaske zu benutzen. Das Recht, Dokumente aus dem Archiv zu bearbeiten ist nicht aktiviert. Der Benutzer bekommt ein weiteres Archivprofil mit Indexfilterkriterien zugewiesen. Der Indexfilter bezieht sich auf das Feld Abgelegt von und ist gefüllt mit dem Benutzernamen von Benutzer Schiller. Zudem ist in diesem Archivprofil das allgemeine Archivrecht Bearbeiten aktiviert. Benutzer Schiller kann mit diesen beiden Archivprofilen im Archiv suchen, aber nur die Indexeinträge der Dokumente ändern, die er selbst abgelegt hat.

Page 47: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 47 © DocuWare AG

Ziel: Benutzer Schmidt darf im Archiv Dokumente ablegen und nach Dokumenten suchen, die zu seiner Abteilung gehören. Er arbeitet in der Entwicklung. Indexeinträge von Dokumenten aus seiner Abteilung darf er bearbeiten.

Lösung: Benutzer Schmidt verfügt über ein allgemeines Archivprofil mit dem aktivierten Recht, Dokumente im Archiv abzulegen. Über dieses Profil bekommt er eine Ablage- und Suchmaske zugewiesen. Die allgemeinen Archivrechte Suchen und Bearbeiten sind in diesem Profil definitiv deaktiviert. Zudem erhält Benutzer Schmidt ein Archivprofil mit aktiviertem Indexfilter. Das Indexfeld Abteilung ist mit dem Filterkriterium Entwicklung gefüllt. Außerdem sind in diesem Archivprofil die allgemeinen Archivrechte Suchen und Bearbeiten aktiviert. Mit diesen beiden Archivprofilen ist Benutzer Schmidt in der Lage, im Archiv abzulegen und nach Dokumenten aus seiner Abteilung zu suchen und bei diesen Dokumenten die Indexeinträge zu ändern.

11.4 Beispiele zur Vorgehensweise Die folgenden Tabellen dienen der Konfigurationsentwicklung. Sie können den jeweiligen Verhältnissen angepasst werden. Wir empfehlen die Entwicklung in den im Folgenden aufgeführten Schritten.

Zuordnung Benutzer zu Gruppen

Die Definition der Gruppen und die Zuordnung der Benutzer erfolgen typischerweise entsprechend der Aufbauorganisation.

Gruppen

Benutzer

[G1] [G2] [G3] [G4]

[Benutzer1]

[Benutzer2]

[Benutzer3]

Zuordnung Rollen zu Gruppen

Die Definition der Rollen erfolgt typischerweise entsprechend der Aufgaben in den Prozessen (Ablauforganisation).

Benutzer:

Schmidt

Abteilung:

Entwicklung

Allgeimeines Archivprofil

Allgemeine Archivrecht

Ablegen

Bearbeiten

Suchen

Zugewiesen: Ablage- und Suchenmaske, Ergebnisliste

Archivprofil mit Indexfilter

Indexfilter:

Feld: Abteilung Entwicklung

Allgemeine Archivrechte

Bearbeiten

Suchen

Page 48: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 48 Januar 2007

Gruppen

Rollen

[G1] [G2] [G3] [G4]

[Rolle1]

[Rolle 2]

[Rolle 3]

Zuordnung Profile zu Rollen

Die Definition der Profile erfolgt typischerweise entsprechend der Aufgaben in den Prozessen (Ablauforganisation). Allerdings können Profile feingranularer aufgebaut werden als Rollen. Die definierten Profile werden Rollen zugewiesen.

Rolle

Profile

[Rolle1] [Rolle2] [Rolle3] [Rolle4]

[F_Profil1]

[F_Profil 2]

[F_Profil 3]

[A_Profil1]

[A_Profil 2]

[A_Profil 3]

11.5 Funktionale Rechte Die funktionalen Rechte gliedern sich in Rechte bezüglich der Administration von DocuWare und in Funktionsrechte für das DocuWare-Hauptfenster, den DocuWare-Viewer und das Zusatzmodul ACTIVE IMPORT.

Funktionsrechte für die DocuWare-Administration Die administrativen Funktionsrechte sind: • Archiv anlegen, ändern und löschen • Stempel anlegen, ändern und löschen • Anzeige- und Bearbeitungsprogramme anlegen, ändern und löschen • Auswahllistenanlegen, ändern und löschen • Logging-Agenten und -Ziele anlegen, ändern und löschen • Benutzer, Gruppen Rollen und Profile anlegen, ändern und löschen • Briefkörbe zentral anlegen und administrieren • Workflows administrieren • AUTOINDEX-Workflow anlegen, ändern und löschen • Barcode-Transfer-Workflow anlegen, ändern und löschen • Synchronisations-Workflow anlegen, ändern und löschen • Export-Workflow anlegen, ändern und löschen • Migrations-Workflow anlegen, ändern und löschen • Konvertierungs-Workflow anlegen, ändern und löschen • Volltextdienst-Workflow anlegen, ändern und löschen • Wiederherstellungsworkflow anlegen, ändern und löschen • Benutzersynchronisations-Workflow anlegen, ändern und löschen • Löschen-Workflow anlegen, ändern und löschen • REQUEST-Workflow anlegen, ändern und löschen • Workflows zum Registrieren von Archiven anlegen, ändern und löschen

Page 49: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 49 © DocuWare AG

Funktionsrechte für das DocuWare-Hauptfenster Diese Rechte spiegeln die über das Menü verfügbaren Funktionen des DocuWare-Hauptfensters wieder. Es sind:

Menü Datei • Briefkorbverwaltung • Archivverwaltung • Drucken • Direktdruck • Faxen • Import • Export

Menü Bearbeiten • Dokumentweise Scannen • Blattweise Scannen • Verschieben in Papierkorb • Anzeigeprogramm • Bearbeitungsprogramm • Löschen • Heften • Entheften • Kopieren in Briefkorb • Verschieben in Briefkorb • Aktualisieren • Sprache • Umbenennen • In Wiedervorlage • Senden • Alles markieren • Automatisch ablegen • RECOGNITION • Massensignatur • Synchronisieren • Automatisch drehen • Datenbankeintrag erstellen • Suche über mehrere Archive • CD/DVD brennen

Menü Ablegen • Ablagemaske verwenden

Menü Suchen • Suchmaske verwenden • Hierarchische Suche

Menü Optionen • Bildleiste • Briefkorbleiste • Archivleiste • Hierarchieleiste • Statusleiste • MAPI-Profil • Einstellungen lokal kopieren • Scannereinstellungen… • Benutzerwechsel • ACTIVE IMPORT • Office Add-In • Fensterpositionen

Page 50: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 50 Januar 2007

• Import-Einstellungen • Export-Einstellungen

Menü Fenster • Papierkorb • Wiedervorlage • Anzeigefenster 1/2/3 • Index Info • SVGA • XGA • SXGA • Individuell gespeicherte Fensterpositionen aufrufen

Funktionsrechte für den DocuWare-Viewer Diese Rechte spiegeln die über das Menü verfügbaren Funktionen des DocuWare-Viewers wieder. Es sind:

Menü Datei • Öffnen • Verlinkte Dokumente anzeigen • Konvertieren • Schließen • Anmerkungen speichern • Drucken • E-Mail

Menü Bearbeiten • Textnotiz • Sprache anfügen • Verschmelzen • Dokument trennen • Suchen • Anmerkungen löschen • Farbe ändern • Text bearbeiten • Fenster kopieren

Menü Dokument • Nächste Seite • Vorherige Seite • Zu Seite Nr. • Mehrere Seiten / Eine Seite • Anzeigeverbesserung • Ausrichten (Drehen) • Invertieren • Linienoptimierung • Checksummen-Kontrolle • Signatur prüfen • Signaturinhalt

Menü Ansicht • Verkleiner/Vergrößern • Ganze Seite anzeigen • Volle Breite anzeigen • Nach links/rechts drehen • Nächstes Dokument • Vorheriges Dokument • Nächste Seite der Datei • Vorherige Seite der Datei • Symbolleiste

Page 51: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 51 © DocuWare AG

• Zeichenwerkzeugleiste • Persönliche Stempel • Öffentliche Stempel • Statusleiste

Menü Werkzeuge • Zeichenwerkzeug auswählen • Text auf Overlay schreiben • Freihandlinie zeichnen • Mit Textmarker markieren • Pfeil zeichnen • Linie zeichnen • Rechteckrahmen zeichnen • Gefülltes Rechteck zeichnen • Ellipsenumriss zeichnen • Gefüllte Ellipse zeichnen • Transparente/nicht transparente Objekt zeichnen • Farbe wählen • Linienstärke wählen • Ebene 1/2/3/4/5 aktivieren / deaktivieren

Menü Indexierung • OCR auf ganzer Seite

Menü Einstellungen • Anzeige • Scannen • Point’n’Shoot • OCR-Einstellungen speichern • Barcode-Einstellungen speichern • Elektronische Signaturen automatisch prüfen

Menü Hilfe • Bilddatei Info • Bilddatei Index Info

Kontextmenü • Kopieren (original) • Kopieren (aktuell) • Text kopieren • OCR – Kopie in Zwischenablage • OCR - Kopie in Ablagemaske • Barcode - Kopie in Zwischenablage • Barcode - Kopie in Ablagemaske

Funktionsrechte für DocuWare ACTIVE IMPORT Diese Rechte spiegeln die über das Menü verfügbaren Funktionen von DocuWare ACTIVE IMPORT wieder. Es sind:

Menü Datei • Fenster schließen • Beenden

Menü Jobs • Neuer Job • Job kopieren • Job ändern • Job-Name ändern • Job einmalig starten • Job starten

Page 52: White Paper Sicherheit

Sicherheit

© DocuWare AG Seite 52 Januar 2007

• Job anhalten • Job löschen • Browser für externe Datenbank

Menü Optionen • Symbolleiste • Statusleiste • Server Modus

11.6 Archivrechte Die Archivrechte gliedern sich in administrative und allgemeine Rechte.

Administrative Archivrechte Administrative Archivrechte sind:

• Archiv-Besitzer zu sein, d.h. alle administrativen Rechte zu haben • Rechte ändern, d.h. das Recht, die Archivrechte für die Benutzer zu ändern • Archiv-Administrator zu sein, d.h. alle Archivrechte außer Archiv-Besitzer und Rechte ändern

zu besitzen • Masken bearbeiten, d.h. das Recht, Such- und Ablagemasken sowie Ergebnislisten zu

erstellen und zu ändern • Migration, d.h. das Recht, ein Migrations-Workflow auszuführen

Allgemeine Archivrechte Die allgemeinen Archivrechte sind: • Ablegen • Anhängen • Suchen • Bearbeiten • Dokumente anzeigen • Dokumente bearbeiten • Dokumente löschen • Export (dieses Recht benötigt man auch zum Drucken) • Anhängen an Read-Only, d.h. das Recht, ein Dokument an ein anderes Dokument anzuhängen,

das sich auf einer Platte befindet, auf die nur lesender Zugriff besteht • Ändern von Read-Only, d.h. das Recht, Indexeinträge eines Dokuments zu ändern, das sich auf

einer Platte befindet, auf die nur lesender Zugriff besteht • Header aktualisieren

Feldrechte Die Rechte, die auf Feldebene vergeben werden können, sind: • Feld darf leer sein, d.h. es muss kein Eintrag in dem Feld vorgenommen werden • Einträge zulassen, die nicht in einer Auswahlliste vorkommen • Neue Einträge zulassen • Leserecht • Suchrecht • Schreibrecht • Recht zu ändern

Rechte durch Funktionen der Ergebnisliste Für jeden Ergebnislisten-Dialog kann definiert werden, welche Funktionen über diesen Dialog zur Verfügung stehen sollen. Möglich sind die folgenden Funktionen: • Neue Suche starten • Verschachtelte Suche • Verlinkte Dokumente anzeigen • Ergebnisliste drucken

Page 53: White Paper Sicherheit

Sicherheit

Januar 2007 Seite 53 © DocuWare AG

• Feldeintrag ändern • An CONTENT-FOLDER • Einstellungen der Ergebnisliste vornehmen • Dokument im Anzeigeprogramm öffnen • Dokument im Bearbeitungsprogramm öffnen • Infobox aufrufen • Vorheriges Dokument anzeigen • Nächstes Dokument anzeigen • Sprachnotiz • Markierte Dokumente löschen • Dokument in Zielbriefkorb kopieren • Checkout • Ausgecheckte Dokumente anzeigen/verbergen • In Wiedervorlage kopieren • Dokument senden • Dokument in Dateiverzeichnis exportieren • Dokument in anderes Archiv kopieren • Dokument aus Zielbriefkorb an archiviertes Dokument anhängen